bonsoir
mon ordinateur se fait attaquer toute les deux minutes par des virus, j ai avira comme antivirus et il y en a deux qu il n arrive jamais a suprimer car ils sont a priori dans des fichiers mémoires,
ces 2 virus sont TR/ATRAPS.gen2 (cheval de troie) et TR/sirefef.AB.77 (cheval de troie).
je n arrive plus a activer mon pare feu windows qui s est désactivé tout seul et je ne peut plus fair les mise a jour windows ou acceder aux fonctionnalité de maintenance de windows .
je maitrise pas trop en PC donc un coup de main serai le bienvenu svp

Bonjour RAF25 et bienvenue sur libellules.ch

Je vais prendre ton sujet en charge, la désinfection devra être suivie jusqu'à ce que le PC soit propre.

Pour plus de lisibilité sur le forum les rapports demandés sans aucune exception devront être postés (si il y a plusieurs) en lien et dans la même réponse en utilisant cet hébergeur de fichiers
On va commencer par ce scan :

Scan RogueKiller

Télécharge Roguekiller (par tigzy) sur le bureau

• Lance RogueKiller.exe.
• Accepte la licence
  
• Attends la fin du pré-scan
• Clique sur le bouton Scan
  
• Laisse l'outil travailler ne touche ni au clavier ni à la souris
• Ne supprime rien sans mon accord
• Un rapport (RKreport.txt) se créera à côté de l'exécutable, colle son contenu dans ta prochaine réponse

bonjour lepanache,merci pour ton aide


RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion- ... ntees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Raf [Droits d'admin]
Mode : Recherche -- Date : 12/05/2013 21:15:08
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 2 ¤¤¤
[SUSP PATH] DomaIQ10.exe -- C:\Users\Raf\AppData\Local\Temp\DIQM\FlashPlayer_151\DomaIQ10.exe [-] -> TUÉ [TermProc]
[SERVICE] IBUpdaterService -- C:\Windows\system32\dmwu.exe [x] -> STOPPÉ

¤¤¤ Entrees de registre : 8 ¤¤¤
[Services][BLSVC] HKLM\[...]\ControlSet001\Services\IBUpdaterService (C:\Windows\system32\dmwu.exe) -> TROUVÉ
[Services][BLSVC] HKLM\[...]\ControlSet002\Services\IBUpdaterService (C:\Windows\system32\dmwu.exe) -> TROUVÉ
[HJPOL] HKCU\[...]\System : DisableTaskMgr (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-21-4287901200-1826466481-1550556040-1000\$8166ef42b4771c09791b47ffbaad6836\n.) [x] -> TROUVÉ
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$RECYCLE.BIN\S-1-5-18\$8166ef42b4771c09791b47ffbaad6836\n) [-] -> TROUVÉ
[HJ INPROC][ZeroAccess] HKLM\[...]\InprocServer32 : (C:\$RECYCLE.BIN\S-1-5-18\$8166ef42b4771c09791b47ffbaad6836\n) [-] -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-18\$8166ef42b4771c09791b47ffbaad6836\n [-] --> TROUVÉ
[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-18\$8166ef42b4771c09791b47ffbaad6836\@ [-] --> TROUVÉ
[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-21-4287901200-1826466481-1550556040-1000\$8166ef42b4771c09791b47ffbaad6836\@ [-] --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-18\$8166ef42b4771c09791b47ffbaad6836\U --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-21-4287901200-1826466481-1550556040-1000\$8166ef42b4771c09791b47ffbaad6836\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\$recycle.bin\S-1-5-18\$8166ef42b4771c09791b47ffbaad6836\L --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\$recycle.bin\S-1-5-21-4287901200-1826466481-1550556040-1000\$8166ef42b4771c09791b47ffbaad6836\L --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini [-] --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini [-] --> TROUVÉ

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: SAMSUNG HD103SJ +++++
--- User ---
[MBR] a28cd05dca7bfe88512ea7cea2b26f62
[BSP] 6b92749420efd468cec61cde58cb2559 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 939602 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1924511744 | Size: 14165 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1]_S_12052013_211508.txt >>
RKreport[1]_S_12052013_211508.txt

Dans ma première réponse j'ai demandé à ce que les rapports soient postés dans les réponses en lien en utilisant cet hébergeur de fichiers http://cjoint.com/ il faudra le faire les rapports qui vont être demandés pour certains risquent d'être très longs et ne tiendront pas dans une réponse.

RogueKiller Suppression

• Lance RogueKiller.exe.
• Pour Vista et Seven fais un clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
• Attends la fin du pré-scan
• Clique sur le bouton Scan ce dernier terminé clique sur Suppression
  
• Laisse l'outil travailler ne touche ni au clavier ni à la souris
• Un rapport (RKreport.txt) se créera à côté de l'exécutable, colle son contenu dans ta prochaine réponse

Note: Deux rapports seront créés c'est le second qui doit être posté

Redémarre ton pc c'est important, suis ensuite cette procédure TDSS Killer

Note : Tu as deux rapports à poster

voici le lien du segond rkreport
http://cjoint.com/?CEmv0rAbCQK

Redémarre ton pc comme il est indiqué dans ma précédente réponse et fais le scan avec TDSS Killer

et voici le lien starkiller

http://cjoint.com/?CEmwbjgwV34

Parfait maintenant refais un scan avec RogueKiller poste ensuite son rapport il faut nous assurer que le rootkit est hors d'état de nuire.

voila le rapport
http://cjoint.com/?CEmwJUXKp0d

Il reste encore des traces du rootkit, on passe à la phase suivante :

Attention cet outil n'est à utiliser qu'avec l'aval d'un Helper Sécu

Le scan est à faire navigateur fermé ainsi que toutes les applications en cours, Antivirus et logicels de sécurité fermés ou désactivés.

Fais une sauvegarde de tes données sur un support externe (clé usb, disque dur externe) c'est la procédure habituelle lors de l'utilisation de cet outil.

Scan Combofix

• Télécharge Combofix (de sUBs)
• Enregistre ce fichier sur le bureau (impératif)
• Fais un clic droit sur combofix.exe choisis Exécuter en tant qu'administrateur pour lancer le scan
• Pendant le scan de Combofix ne touche ni au clavier ni à la souris
• Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

je n ai pas de disque dur externe, la sauvegarde est impérative?

Elle ne l'est pas si tes données sont sur une partition autre que celle sur laquelle est installé Windows

j ai mon disque dur OS C
et un autre HP RECOVERY D

Avant de passer à Combofix on va réessayer avec RogueKiller

RogueKiller Suppression

• Lance RogueKiller.exe.
• Pour Vista et Seven fais un clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
• Attends la fin du pré-scan
• Clique sur le bouton Scan ce dernier terminé clique sur Suppression
  
• Laisse l'outil travailler ne touche ni au clavier ni à la souris
• Un rapport (RKreport.txt) se créera à côté de l'exécutable, colle son contenu dans ta prochaine réponse

Note: Deux rapports seront créés c'est le second qui doit être posté

Il faut impérativement redémarrer ton pc pour finaliser la suppression

Refais un scan avec RogueKiller poste ensuite son rapport.

voila le lien
http://cjoint.com/?CEmxCU40QxO

je vais recommencer un coup et t envoyer un nouveau rapport, j ai l impression qu il ya eu un souci avec celui la

Cette fois-ci ça y est le rookit est Ko debout on n'a pas besoin d'utiliser Combofix, suis mainteant cette Procédure poste ensuite le résultat du scan en lien.......

Je verrais le rapport demain matin je ferme la boutique pour ce soir.

ok merci beaucoup, bonne nuit

voila le rapport de ZHPdiag
http://cjoint.com/?CEmxZ70xPXV