attaque par ATRAPS/gen2 (Résolu)

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

attaque par ATRAPS/gen2 (Résolu)

Messagepar patgex » 01 Avr 2013 16:48

bonjour, deja merci pour votre forum et votre aide:

donc comme écrit dans le sujet, mon Avira me detecte à chaque lancement du PC le virus Atraps.gen2

à la suite de cela, j'ai effectué un malwarebytes qui m'a detecté une dizaine de lignes infectées et que j 'ai supprimé, seulement il est tjr la
.. je viens de me rendre compte que je n'ai plus de window defender et quand j'essaie de relancer via 'services msc' il me dit que 'tentative non autorisée sur une clef marquée du registre'

j'ai essayé de relancer malwarebytes et c'est maintenant impossible, meme message que pour window defender

j'ai essayé de telecharger roguekiller , ca me m'est aussi le meme message

mon pc à l'air de fonctionner normalement mais le Atraps est tjr la, je le mets a chaque demarrage en quarantaine je suis sous seven, je n'ai pas le disque d installation j'ai telecharger combofix mais je me sens pas assez sur pour le lancer car malgré qu il me semble avoir desactivé avira il le detecte tjr, de plus combofix s'est telechargé dans mes documents, comment l'avoir dans le bureau? Merci de votre aide
Dernière édition par patgex le 16 Avr 2013 17:58, édité 1 fois.
patgex
 
Messages: 22
Inscription: 01 Avr 2013 16:33

Re: attaque par ATRAPS/gen2

Messagepar zaede » 01 Avr 2013 18:27

Bonjour patgex

- Télécharge Roguekiller (par tigzy) sur le bureau

Tu peux le télécharger d'un autre PC et mettre sur clé usb pour le transférer

- Quitte tous tes programmes en cours

- Lance RogueKiller.exe.

- Sous Vista/Seven, clique droit et lancer en tant qu'administrateur

- Attendre que le Prescan ait fini ...

- Clique sur Scan.

Clique sur Rapport et copier coller le contenu du notepad dans la prochaine réponse
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: attaque par ATRAPS/gen2

Messagepar patgex » 01 Avr 2013 23:35

hello et merci pour ta reponse rapide

ok, je recupererai Rogues des que possible, j'ai reussi à relancer un malwarebytes qui n'a rien trouvé, par contre j'ai effectué un scan complet via Avira qui m'a trouvé le Atraps/gen2 et TR/Sirefef.AB.77 , je te joins copie du rapport si deja ca peut t'aider en attendant le rogues merci

Avira AntiVir Personal
Date de création du fichier de rapport : lundi 1 avril 2013 21:45

La recherche porte sur 5168318 souches de virus.

Le programme fonctionne en version intégrale illimitée.
Les services en ligne sont disponibles.

Détenteur de la licence : Avira AntiVir Personal - Free Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows 7 x64
Version de Windows : (Service Pack 1) [6.1.7601]
Mode Boot : Démarré normalement
Identifiant : Système
Nom de l'ordinateur : PATRICK-PC

Informations de version :
BUILD.DAT : 10.2.0.167 36070 Bytes 25/10/2012 10:42:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 21/07/2011 11:20:47
AVSCAN.DLL : 10.0.5.0 56680 Bytes 21/07/2011 11:22:30
LUKE.DLL : 10.3.0.5 45416 Bytes 21/07/2011 11:21:49
LUKERES.DLL : 10.0.0.0 13672 Bytes 21/04/2011 06:55:52
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 21/07/2011 11:20:48
AVREG.DLL : 10.3.0.9 90472 Bytes 21/07/2011 11:20:43
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 06:35:52
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 19:19:34
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20/12/2011 23:12:52
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01/02/2012 11:43:59
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28/03/2012 17:41:05
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29/06/2012 10:58:57
VBASE006.VDF : 7.11.41.250 4902400 Bytes 06/09/2012 17:25:02
VBASE007.VDF : 7.11.50.230 3904512 Bytes 22/11/2012 14:50:22
VBASE008.VDF : 7.11.65.172 9122816 Bytes 21/03/2013 16:52:45
VBASE009.VDF : 7.11.65.173 2048 Bytes 21/03/2013 16:52:45
VBASE010.VDF : 7.11.65.174 2048 Bytes 21/03/2013 16:52:45
VBASE011.VDF : 7.11.65.175 2048 Bytes 21/03/2013 16:52:45
VBASE012.VDF : 7.11.65.176 2048 Bytes 21/03/2013 16:52:45
VBASE013.VDF : 7.11.66.48 120832 Bytes 22/03/2013 12:40:27
VBASE014.VDF : 7.11.66.133 339456 Bytes 24/03/2013 11:35:11
VBASE015.VDF : 7.11.66.209 317440 Bytes 25/03/2013 11:35:12
VBASE016.VDF : 7.11.66.210 2048 Bytes 25/03/2013 11:35:13
VBASE017.VDF : 7.11.66.211 2048 Bytes 25/03/2013 11:35:13
VBASE018.VDF : 7.11.66.212 2048 Bytes 25/03/2013 11:35:13
VBASE019.VDF : 7.11.66.213 2048 Bytes 25/03/2013 11:35:13
VBASE020.VDF : 7.11.66.214 2048 Bytes 25/03/2013 11:35:13
VBASE021.VDF : 7.11.66.215 2048 Bytes 25/03/2013 11:35:13
VBASE022.VDF : 7.11.66.216 2048 Bytes 25/03/2013 11:35:13
VBASE023.VDF : 7.11.66.217 2048 Bytes 25/03/2013 11:35:13
VBASE024.VDF : 7.11.66.218 2048 Bytes 25/03/2013 11:35:13
VBASE025.VDF : 7.11.66.219 2048 Bytes 25/03/2013 11:35:13
VBASE026.VDF : 7.11.66.220 2048 Bytes 25/03/2013 11:35:13
VBASE027.VDF : 7.11.66.221 2048 Bytes 25/03/2013 11:35:13
VBASE028.VDF : 7.11.66.222 2048 Bytes 25/03/2013 11:35:13
VBASE029.VDF : 7.11.66.223 2048 Bytes 25/03/2013 11:35:13
VBASE030.VDF : 7.11.66.224 2048 Bytes 25/03/2013 11:35:13
VBASE031.VDF : 7.11.67.26 94208 Bytes 26/03/2013 11:35:14
Version du moteur : 8.2.12.18
AEVDF.DLL : 8.1.2.10 102772 Bytes 10/07/2012 19:11:27
AESCRIPT.DLL : 8.1.4.100 475517 Bytes 21/03/2013 16:53:02
AESCN.DLL : 8.1.10.0 131445 Bytes 14/12/2012 11:23:29
AESBX.DLL : 8.2.5.12 606578 Bytes 17/06/2012 18:40:21
AERDL.DLL : 8.2.0.88 643444 Bytes 13/01/2013 19:34:18
AEPACK.DLL : 8.3.2.2 827767 Bytes 16/03/2013 13:15:01
AEOFFICE.DLL : 8.1.2.56 205180 Bytes 09/03/2013 18:06:46
AEHEUR.DLL : 8.1.4.258 5853561 Bytes 21/03/2013 16:53:00
AEHELP.DLL : 8.1.25.2 258423 Bytes 14/10/2012 10:15:09
AEGEN.DLL : 8.1.6.16 434549 Bytes 26/01/2013 20:58:47
AEEXP.DLL : 8.4.0.14 192886 Bytes 21/03/2013 16:53:02
AEEMU.DLL : 8.1.3.2 393587 Bytes 10/07/2012 19:11:26
AECORE.DLL : 8.1.31.2 201080 Bytes 20/02/2013 19:55:20
AEBB.DLL : 8.1.1.4 53619 Bytes 06/11/2012 17:38:15
AVWINLL.DLL : 10.0.0.0 19304 Bytes 21/04/2011 06:55:23
AVPREF.DLL : 10.0.3.2 44904 Bytes 21/07/2011 11:20:42
AVREP.DLL : 10.0.0.10 174120 Bytes 21/07/2011 11:20:43
AVARKT.DLL : 10.0.26.1 255336 Bytes 21/07/2011 11:20:23
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 21/07/2011 11:20:37
SQLITE3.DLL : 3.6.19.0 355688 Bytes 21/07/2011 14:12:32
AVSMTP.DLL : 10.0.0.17 63848 Bytes 21/04/2011 06:55:22
NETNT.DLL : 10.0.0.0 11624 Bytes 21/04/2011 06:55:36
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 21/07/2011 11:22:33
RCTEXT.DLL : 10.0.64.0 100712 Bytes 21/07/2011 11:22:33

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp
Documentation.................................: par défaut
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:,
Recherche dans les programmes actifs..........: marche
Programmes en cours étendus...................: marche
Recherche en cours sur l'enregistrement.......: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: avancé
Catégories de dangers divergentes.............: +SPR,

Début de la recherche : lundi 1 avril 2013 21:45

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '65' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '30' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '98' module(s) sont contrôlés
Processus de recherche 'jre-7u17-windows-i586-iftw.exe' - '56' module(s) sont contrôlés
Processus de recherche 'mbam.exe' - '91' module(s) sont contrôlés
Processus de recherche 'wmiprvse.exe' - '36' module(s) sont contrôlés
Processus de recherche 'ymsgr_tray.exe' - '34' module(s) sont contrôlés
Processus de recherche 'XMBLicensing.exe' - '16' module(s) sont contrôlés
Processus de recherche 'Sound_Blaster_X-Fi_MB_Cleanup.0001' - '18' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '67' module(s) sont contrôlés
Processus de recherche 'winampa.exe' - '22' module(s) sont contrôlés
Processus de recherche 'PWRISOVM.EXE' - '22' module(s) sont contrôlés
Processus de recherche 'SmartViewAgent.exe' - '78' module(s) sont contrôlés
Processus de recherche 'VolPanlu.exe' - '68' module(s) sont contrôlés
Processus de recherche 'AMBSPISyncService.exe' - '38' module(s) sont contrôlés
Processus de recherche 'Skype.exe' - '127' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '124' module(s) sont contrôlés
Processus de recherche 'AVWEBGRD.EXE' - '47' module(s) sont contrôlés
Processus de recherche 'WCUService.exe' - '57' module(s) sont contrôlés
Processus de recherche 'SmartViewService.exe' - '20' module(s) sont contrôlés
Processus de recherche 'GoogleUpdate.exe' - '46' module(s) sont contrôlés
Processus de recherche 'c2c_service.exe' - '36' module(s) sont contrôlés
Processus de recherche 'MDM.EXE' - '30' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '75' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '48' module(s) sont contrôlés
Processus de recherche 'CTAudSvc.exe' - '30' module(s) sont contrôlés

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '236' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <500 GO>
C:\Windows\assembly\GAC_32\Desktop.ini
[RESULTAT] Contient le cheval de Troie TR/Sirefef.AB.77
C:\Windows\assembly\GAC_64\Desktop.ini
[RESULTAT] Contient le cheval de Troie TR/ATRAPS.Gen2

Début de la désinfection :
C:\Windows\assembly\GAC_64\Desktop.ini
[RESULTAT] Contient le cheval de Troie TR/ATRAPS.Gen2
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004
[AVERTISSEMENT] Impossible de trouver le fichier source.
[REMARQUE] Un redémarrage de l'ordinateur est initié pour la réparation finale.
[AVERTISSEMENT] Impossible de repérer le fichier pour sa suppression après le redémarrage. Cause possible : Accès refusé.

[REMARQUE] Un redémarrage de l'ordinateur est initié pour la réparation finale.
C:\Windows\assembly\GAC_32\Desktop.ini
[RESULTAT] Contient le cheval de Troie TR/Sirefef.AB.77
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004
[AVERTISSEMENT] Impossible de trouver le fichier source.
[REMARQUE] Un redémarrage de l'ordinateur est initié pour la réparation finale.
[AVERTISSEMENT] Impossible de repérer le fichier pour sa suppression après le redémarrage. Cause possible : Accès refusé.

[REMARQUE] Un redémarrage de l'ordinateur est initié pour la réparation finale.
patgex
 
Messages: 22
Inscription: 01 Avr 2013 16:33

Re: attaque par ATRAPS/gen2

Messagepar patgex » 01 Avr 2013 23:51

....re, apres un redemarrage en fait j'ai pu telecharger par ton lien et lancer Rogue,
apres un scan (ça ma l'air rapide) j'ai ça comme rapport, c'est peu je trouve, et y'a un panneau qui clignote sur Rogues avec marqué 'zero access'
est c que c 'est bon?

RogueKiller V8.5.4 _x64_ [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion- ... ntees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Patrick [Droits d'admin]
Mode : Recherche -- Date : 02/04/2013 00:43:23
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 1 ¤¤¤
[SUSP PATH] Sound_Blaster_X-Fi_MB_Cleanup.0001 -- C:\Users\Patrick\AppData\Local\Temp\Sound_Blaster_X-Fi_MB_Cleanup.0001 [-] -> TUÉ [TermProc]

¤¤¤ Entrees de registre : 4 ¤¤¤
[RUN][BLACKLISTDLL] HKLM\[...]\Run : RunDLLEntry (C:\Windows\system32\RunDLL32.exe C:\Windows\system32\AmbRunE.dll,RunDLLEntry) -> TROUVÉ
[HJPOL] HKCU\[...]\System : disableregistrytools (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini [-] --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini [-] --> TROUVÉ

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD5000AADS-00S9B0 ATA Device +++++
--- User ---
[MBR] c2ab797ecf26ffd3ec51ebf56682f194
[BSP] b2b94e9816284bc68dd17aad2fc59eca : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 476929 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1]_S_02042013_004323.txt >>
RKreport[1]_S_02042013_004323.txt
patgex
 
Messages: 22
Inscription: 01 Avr 2013 16:33

Re: attaque par ATRAPS/gen2

Messagepar zaede » 03 Avr 2013 00:03

Re, on y arrive

Relance Roguekiller
- Clique sur suppression
- Clique sur Rapport et copier coller le contenu du notepad dans la prochaine réponse


On passe a ceci ensuite et apres cette analyse et le nettoyage si besoin, on verifiera les degats collatéraux sount occasionné par cette infection pernicieuse

Suis cette procédure et poste le résultat du scan
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: attaque par ATRAPS/gen2

Messagepar patgex » 03 Avr 2013 12:33

hello, voila , c'est fait...

mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion- ... ntees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Patrick [Droits d'admin]
Mode : Suppression -- Date : 03/04/2013 13:32:35
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 1 ¤¤¤
[SUSP PATH] Sound_Blaster_X-Fi_MB_Cleanup.0001 -- C:\Users\Patrick\AppData\Local\Temp\Sound_Blaster_X-Fi_MB_Cleanup.0001 [-] -> TUÉ [TermProc]

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD5000AADS-00S9B0 ATA Device +++++
--- User ---
[MBR] c2ab797ecf26ffd3ec51ebf56682f194
[BSP] b2b94e9816284bc68dd17aad2fc59eca : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 476929 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2]_D_03042013_133235.txt >>
RKreport[1]_S_03042013_133112.txt ; RKreport[2]_D_03042013_133235.txt
patgex
 
Messages: 22
Inscription: 01 Avr 2013 16:33

Re: attaque par ATRAPS/gen2

Messagepar patgex » 03 Avr 2013 18:56

....et ça rapport de ZHP

http://cjoint.com/?0Ddt2CnaX6g

merci
patgex
 
Messages: 22
Inscription: 01 Avr 2013 16:33

Re: attaque par ATRAPS/gen2

Messagepar zaede » 03 Avr 2013 23:36

Bonsoir patgex, j'ai un doute quand à l'infection mais vu le client, je prefere le lever en faisant passer le scan

Étape 1: TDSSKiller (de Kaspersky), installation
Téléchargez tdsskiller.exe et place le sur le bureau

Étape 2: TDSSKiller (de Kaspersky), exécution
Faites un double clic sur TDSSKiller.exe pour le lancer.

L'écran de TDSSKiller s'affiche:
Image

Cliquez sur Change parameters Image

L'écran Settings de TDSSKiller s'affiche:
Image

Cochez la case située devant Loaded modules Image

Il y a immédiatement ouverture d'une petite fenêtre "Reboot is required".
Image

Cliquez sur le bouton Reboot now, ce qui va provoquer un redémarrage du PC.

Le PC redémarre.

TDSSKiller va se lancer automatiquement après ce redémarrage, et votre PC peut alors sembler être très lent et inutilisable.

Soyez patient, et attendez que vos programmes se chargent.

L'écran de TDSSKiller s'affiche:
Image

Cliquez sur Change parameters Image

L'écran Settings de TDSSKiller s'affiche.
Cochez toutes les cases, comme ceci:
Image

puis cliquez sur le bouton OK.

Cliquez maintenant sur Start scan pour lancer l'analyse.

Déroulement de l'analyse:
Image

Lorsque l'outil a terminé son travail d'inspection (ce qui prend quelques minutes),

Si des objets nuisibles ("Malware objects") ont été détectés, le programme sélectionne automatiquement l'action à effectuer:
Image
*- soit Cure - option par défaut, ne la modifiez pas
*- soit Skip - dans ce cas, cliquez sur la petite flèche vers le bas située à coté de Skip afin d'ouvrir la liste des options disponibles. Si Cure est présent, il faut le sélectionner, sinon ne modifiez rien.
*- soit Delete - dans ce cas, cliquez sur la petite flèche vers le bas située juste à côté de Delete afin d'ouvrir la liste des options disponibles. Puis dans le menu déroulant choisissez Skip. Ne laissez pas l'option Delete sans que cela vous soit expressément demandé.

Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, laissez l'action à entreprendre sur Skip:
Image

Ensuite cliquez sur le bouton Continue Image

Un redémarrage est nécessaire:
Image

Cliquez sur Reboot computer Image


Étape 3: Résultats
Envoyez en réponse:
*- le rapport de TDSSKiller (contenu du fichier %SystemDrive%\TDSSKiller.Version_Date_Heure_log.txt)
%SystemDrive% représente la partition sur laquelle est installé le système, généralement C:
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: attaque par ATRAPS/gen2

Messagepar patgex » 05 Avr 2013 19:11

j'ai bien fait le scan tdss mais impossible de retrouver le rapport autre part que sur la fenetre de TDSs, j'ai fait le tour de programmes files, tous les programmes etc et rien...
patgex
 
Messages: 22
Inscription: 01 Avr 2013 16:33

Re: attaque par ATRAPS/gen2

Messagepar zaede » 05 Avr 2013 23:09

Re, d'accord, le programme a supprimé quelque chose?
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: attaque par ATRAPS/gen2

Messagepar patgex » 06 Avr 2013 14:56

....il a detecté 4 trucs suspicieux, tout était coché en 'skip', j ai validé...
patgex
 
Messages: 22
Inscription: 01 Avr 2013 16:33

Re: attaque par ATRAPS/gen2

Messagepar zaede » 06 Avr 2013 21:57

Re, ok

Supprime Roguekiller du PC, on va prendre la derniere version pour refaire un scan

- Télécharge Roguekiller (par tigzy) sur le bureau

- Quitte tous tes programmes en cours

- Lance RogueKiller.exe.

- Sous Vista/Seven, clique droit et lancer en tant qu'administrateur

- Attendre que le Prescan ait fini ...

- Clique sur Scan.

Clique sur Rapport et copier coller le contenu du notepad dans la prochaine réponse
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: attaque par ATRAPS/gen2

Messagepar patgex » 07 Avr 2013 12:42

voila c fait.....

RogueKiller V8.5.4 _x64_ [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion- ... ntees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Patrick [Droits d'admin]
Mode : Recherche -- Date : 07/04/2013 13:39:14
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 1 ¤¤¤
[SUSP PATH] Sound_Blaster_X-Fi_MB_Cleanup.0001 -- C:\Users\Patrick\AppData\Local\Temp\Sound_Blaster_X-Fi_MB_Cleanup.0001 [-] -> TUÉ [TermProc]

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD5000AADS-00S9B0 ATA Device +++++
--- User ---
[MBR] c2ab797ecf26ffd3ec51ebf56682f194
[BSP] b2b94e9816284bc68dd17aad2fc59eca : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 476929 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1]_S_07042013_133914.txt >>
RKreport[1]_S_07042013_133914.txt
patgex
 
Messages: 22
Inscription: 01 Avr 2013 16:33

Re: attaque par ATRAPS/gen2

Messagepar patgex » 07 Avr 2013 14:27

....et pour info, j ai refait un scan complet avec avira et il me trouve plus rien....par contre souvent était signalé un truc 'soundblaster' , c 'est pas la carte son ça? car à un moment quand j ecoutais de la musique, y avait un bruit parasite qui revenait toutes les 30s environ, comme une fenetre de pub qui s ouvrait par exemple et depuis plus rien....je sais pas si tout est lié.....
patgex
 
Messages: 22
Inscription: 01 Avr 2013 16:33

Re: attaque par ATRAPS/gen2

Messagepar zaede » 07 Avr 2013 20:13

Re, en fait le processus du son est arrêté et non pas supprimé
Ensuite il se trouve dans un dossier temp ce qui n'esty pas bon vu que ce dossier peut etre vidé

Tu as encore des soucis?
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: attaque par ATRAPS/gen2

Messagepar patgex » 08 Avr 2013 13:06

...re
en fait avec le son , j ai plus de prob...
le seul truc qui me chagrine , c'est que depuis ça j ai l impression de ne plus avoir de parre feu window,
j'essaie de voir sa situation dans parametres avancé et ça me mets tjr erreur 0x6d9 et qu 'il n utilise pas les recommandations pour proteger l ordi

ton avis? merci
patgex
 
Messages: 22
Inscription: 01 Avr 2013 16:33

Re: attaque par ATRAPS/gen2

Messagepar zaede » 08 Avr 2013 20:35

Re, on va verifier

Télécharge Farbar Service Scanner puis exécute-le sur l'ordinateur ayant le problème de connexion.
Vérifie que les options ci-dessous sont cochées:
  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center
  • Windows Update
  • Windows Defender
  • Clique sur "Scan".
Un rapport va se creer (FSS.txt) dans le dossier où se trouve FSS.exe.
Copier/colle ce rapport d'analyse dans la prochaine réponse.
Dernière édition par zaede le 09 Avr 2013 20:07, édité 1 fois.
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: attaque par ATRAPS/gen2

Messagepar patgex » 09 Avr 2013 12:36

voila le resultat:

Farbar Service Scanner Version: 03-03-2013
Ran by Patrick (administrator) on 09-04-2013 at 13:34:28
Running from "C:\Users\Patrick\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\4TQNGR6D"
Windows 7 Ultimate Service Pack 1 (X64)
Boot Mode: Normal
****************************************************************

Internet Services:
============

Connection Status:
==============
Localhost is accessible.
LAN connected.
Google IP is accessible.
Google.com is accessible.
Attempt to access Yahoo IP returned error. Yahoo IP is offline
Yahoo.com is accessible.


Windows Firewall:
=============
MpsSvc Service is not running. Checking service configuration:
The start type of MpsSvc service is OK.
The ImagePath of MpsSvc service is OK.
The ServiceDll of MpsSvc service is OK.


Firewall Disabled Policy:
==================


System Restore:
============

System Restore Disabled Policy:
========================


Action Center:
============

Windows Update:
============

Windows Autoupdate Disabled Policy:
============================


Windows Defender:
==============

Other Services:
==============
Checking Start type of SharedAccess: ATTENTION!=====> Unable to retrieve start type of SharedAccess. The value does not exist.
Checking ImagePath of SharedAccess: ATTENTION!=====> Unable to retrieve ImagePath of SharedAccess. The value does not exist.
Checking ServiceDll of SharedAccess: ATTENTION!=====> Unable to open SharedAccess registry key. The service key does not exist.
Checking Start type of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist.
Checking ImagePath of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist.
Checking ServiceDll of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist.


File Check:
========
C:\Windows\System32\nsisvc.dll => MD5 is legit
C:\Windows\System32\drivers\nsiproxy.sys => MD5 is legit
C:\Windows\System32\dhcpcore.dll => MD5 is legit
C:\Windows\System32\drivers\afd.sys => MD5 is legit
C:\Windows\System32\drivers\tdx.sys => MD5 is legit
C:\Windows\System32\Drivers\tcpip.sys => MD5 is legit
C:\Windows\System32\dnsrslvr.dll => MD5 is legit
C:\Windows\System32\mpssvc.dll => MD5 is legit
C:\Windows\System32\bfe.dll => MD5 is legit
C:\Windows\System32\drivers\mpsdrv.sys => MD5 is legit
C:\Windows\System32\SDRSVC.dll => MD5 is legit
C:\Windows\System32\vssvc.exe => MD5 is legit
C:\Windows\System32\wscsvc.dll => MD5 is legit
C:\Windows\System32\wbem\WMIsvc.dll => MD5 is legit
C:\Windows\System32\wuaueng.dll => MD5 is legit
C:\Windows\System32\qmgr.dll => MD5 is legit
C:\Windows\System32\es.dll => MD5 is legit
C:\Windows\System32\cryptsvc.dll => MD5 is legit
C:\Program Files\Windows Defender\MpSvc.dll => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\rpcss.dll => MD5 is legit


**** End of log ****
patgex
 
Messages: 22
Inscription: 01 Avr 2013 16:33

Re: attaque par ATRAPS/gen2

Messagepar zaede » 09 Avr 2013 20:08

Re, ok on va reparer ça

Réparation des services

==> Télécharge ServicesRepair.exe et enregistre ce fichier sur le bureau.
http://kb.eset-la.com/library/ESET/KB%2 ... Repair.exe

- Ferme toutes tes fenêtres en cours, puis double clique sur ServicesRepair.exe qui est sur le bureau.
- Pour Vista et Seven fais un clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
- Clique sur Oui pour confirmer le lancement de l'outil.

Patiente le temps du traitement

- Confirme le redémarrage du PC en cliquant sur Oui
- Au redémarrage, un dossier sera créé sur le bureau, nommé CC Support
- Poste dans ta prochaine réponse le contenu du rapport qui se trouve ici : CC Support\Logs\ SvcRepair.txt
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: attaque par ATRAPS/gen2

Messagepar patgex » 09 Avr 2013 22:47

re .... voila le result...

Log Opened: 2013-04-09 @ 23:38:03
23:38:03 - -----------------
23:38:03 - | Begin Logging |
23:38:03 - -----------------
23:38:03 - Fix started on a WIN_7 X64 computer
23:38:03 - Prep in progress. Please Wait.
23:38:04 - Prep complete
23:38:04 - Repairing Services Now. Please wait...
INFO: The restore action ignores the object name parameter (paths are read from the backup file). However, other actions that require the object name may be combined with -restore.
INFORMATION: Input file for restore operation opened: '.\Win7\BFE.sddl'
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\BFE\Parameters\Policy\Persistent\SubLayer>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\BFE\Parameters\Policy\Persistent\Provider>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\BFE\Parameters\Policy\Persistent\Filter>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\BFE\Parameters\Policy\Persistent>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\BFE\Parameters\Policy\BootTime\Filter>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\BFE\Parameters\Policy\BootTime>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\BFE\Parameters\Policy>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\BFE\Parameters>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\BFE>

SetACL finished successfully.
INFO: The restore action ignores the object name parameter (paths are read from the backup file). However, other actions that require the object name may be combined with -restore.
INFORMATION: Input file for restore operation opened: '.\Win7\BITS.sddl'
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\BITS\Security>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\BITS\Performance>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\BITS\Parameters>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\BITS>

SetACL finished successfully.
INFO: The restore action ignores the object name parameter (paths are read from the backup file). However, other actions that require the object name may be combined with -restore.
INFORMATION: Input file for restore operation opened: '.\Win7\iphlpsvc.sddl'
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\iphlpsvc\Teredo>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\iphlpsvc\Parameters\Teredo\{FA88062C-9A61-4C1E-AC45-7143F8F01AAD}>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\iphlpsvc\Parameters\Teredo>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\iphlpsvc\Parameters\Isatap\{8AD2FB26-F91E-44F1-9B24-3C0AE56C9CE0}>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\iphlpsvc\Parameters\Isatap>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\iphlpsvc\Parameters\IPHTTPS>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\iphlpsvc\Parameters>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\iphlpsvc\Interfaces>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\iphlpsvc\config>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\iphlpsvc>

SetACL finished successfully.
INFO: The restore action ignores the object name parameter (paths are read from the backup file). However, other actions that require the object name may be combined with -restore.
INFORMATION: Input file for restore operation opened: '.\Win7\MpsSvc.sddl'
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\MpsSvc\Security>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\MpsSvc\Parameters\PortKeywords\Teredo>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\MpsSvc\Parameters\PortKeywords\RPC-EPMap>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\MpsSvc\Parameters\PortKeywords\IPTLSOut>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\MpsSvc\Parameters\PortKeywords\IPTLSIn>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\MpsSvc\Parameters\PortKeywords\DHCP>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\MpsSvc\Parameters\PortKeywords>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\MpsSvc\Parameters>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\MpsSvc>

SetACL finished successfully.
INFO: The restore action ignores the object name parameter (paths are read from the backup file). However, other actions that require the object name may be combined with -restore.
INFORMATION: Input file for restore operation opened: '.\Win7\SharedAccess.sddl'
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\Logging>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Static\System>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Static>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Configurable\System>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Configurable>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile\Logging>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile\GloballyOpenPorts>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile\AuthorizedApplications>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\Logging>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Epoch2>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Epoch>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Defaults\FirewallPolicy\StandardProfile\Logging>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Defaults\FirewallPolicy\StandardProfile>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Defaults\FirewallPolicy\PublicProfile\Logging>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Defaults\FirewallPolicy\PublicProfile>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Defaults\FirewallPolicy\FirewallRules>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Defaults\FirewallPolicy\DomainProfile\Logging>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Defaults\FirewallPolicy\DomainProfile>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Defaults\FirewallPolicy>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Defaults>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess>

SetACL finished successfully.
INFO: The restore action ignores the object name parameter (paths are read from the backup file). However, other actions that require the object name may be combined with -restore.
INFORMATION: Input file for restore operation opened: '.\Win7\WinDefend.sddl'
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\WinDefend\TriggerInfo\0>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\WinDefend\TriggerInfo>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\WinDefend\Security>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\WinDefend\Parameters>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\WinDefend>

SetACL finished successfully.
INFO: The restore action ignores the object name parameter (paths are read from the backup file). However, other actions that require the object name may be combined with -restore.
INFORMATION: Input file for restore operation opened: '.\Win7\wscsvc.sddl'
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\wscsvc\Security>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\wscsvc\Parameters>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\wscsvc>

SetACL finished successfully.
INFO: The restore action ignores the object name parameter (paths are read from the backup file). However, other actions that require the object name may be combined with -restore.
INFORMATION: Input file for restore operation opened: '.\Win7\wuauserv.sddl'
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\wuauserv\Security>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\wuauserv\Parameters>
INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\wuauserv>

SetACL finished successfully.
23:38:06 - Services Repair Complete.
23:38:12 - Reboot Initiated

et encore merci pour ton aide..
patgex
 
Messages: 22
Inscription: 01 Avr 2013 16:33

Suivante

Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités