Infecté par atraps.gen2

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

Infecté par atraps.gen2

Messagepar moriarti » 18 Sep 2012 15:02

Bonjour,
Depuis ce matin AVIRA échoue à éliminer atraps.gen2 et atraps.gen
Je suis sous Windows Vista
merci de votre aide
moriarti
 
Messages: 4
Inscription: 18 Sep 2012 14:59

Re: Infecté par atraps.gen2

Messagepar zaede » 18 Sep 2012 15:54

Bonjour moriarti et bienvenue sur libellules.ch


- Télécharge Roguekiller (par tigzy) sur le bureau

- Quitte tous tes programmes en cours

- Lance RogueKiller.exe.

- Sous Vista/Seven, clique droit et lancer en tant qu'administrateur

- Attendre que le Prescan ait fini ...

- Clique sur Scan.

Clique sur Rapport et copier coller le contenu du notepad dans la prochaine réponse
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: Infecté par atraps.gen2

Messagepar moriarti » 18 Sep 2012 20:44

Merci pour votre proposition.

Une passe de MalwareBytes après un redémarrage sans échec semble avoir réglé le problème (plus rien sous AVIRA ou Kapersky TDSSKiller).

Faut-il effectuer d'autres recherches?

Ce qui me rend furieux c'est que lorsqu'on télécharge des logiciels utilitaires sur les sites les plus connus pour PC, on se ramasse des moteurs de recherche douteux et autres spywares même en faisant attention à ce que l'on coche. Marre des Ask et Softsonic...

Merci pour ce site.

Moriarti
moriarti
 
Messages: 4
Inscription: 18 Sep 2012 14:59

Re: Infecté par atraps.gen2

Messagepar zaede » 18 Sep 2012 21:57

Oui c'est une conséquence de la publicité
De préférence toujours sur le site de l'éditeur.
Les sites de téléchargement 01net/telecharger.com et Softonic sont à éviter car ces derniers ajoutent des barres d'outils et adwares dans les programmes.

Poste le rapport de Roguekiller pour contrôle
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: Infecté par atraps.gen2

Messagepar moriarti » 19 Sep 2012 18:28

Bonsoir

Voici le rapport.

Merci de votre aide.

Moriarti


RogueKiller V8.0.4 [19/09/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion- ... ntees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : yves [Droits d'admin]
Mode : Recherche -- Date : 19/09/2012 19:08:01

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[75] : NtCreateSection @ 0x82A49DE5 -> HOOKED (Unknown @ 0x8AABB94E)
SSDT[276] : NtRequestWaitReplyPort @ 0x82A5BF90 -> HOOKED (Unknown @ 0x8AABB958)
SSDT[289] : NtSetContextThread @ 0x82AAB06F -> HOOKED (Unknown @ 0x8AABB953)
SSDT[314] : NtSetSecurityObject @ 0x829D8038 -> HOOKED (Unknown @ 0x8AABB95D)
SSDT[332] : NtSystemDebugControl @ 0x82A10EC1 -> HOOKED (Unknown @ 0x8AABB962)
SSDT[334] : NtTerminateProcess @ 0x82A09143 -> HOOKED (Unknown @ 0x8AABB8EF)
S_SSDT[573] : Unknown -> HOOKED (Unknown @ 0x8AABB976)
S_SSDT[576] : Unknown -> HOOKED (Unknown @ 0x8AABB97B)

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: FUJITSU MHY2160BH +++++
--- User ---
[MBR] d24af5eee5fe38fae3c5e7450d0b3be1
[BSP] 5e7fee3ff2bcecf4c3ed89679e39de02 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 7174 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 14694400 | Size: 145451 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt
moriarti
 
Messages: 4
Inscription: 18 Sep 2012 14:59

Re: Infecté par atraps.gen2

Messagepar zaede » 19 Sep 2012 19:57

C'est OK, les mises a jour et centre de securité fonctionne?

Cette infection a tendance a supprimer des clés de registre

Ce scan permettra de le verifier

Télécharge Farbar Service Scanner puis exécute-le sur l'ordinateur ayant le problème de connexion.
Vérifie que les options ci-dessous sont cochées:
  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center
  • Windows Update
  • Windows Defender

- Clique sur "Scan".
Un rapport va se creer (FSS.txt) dans le dossier où se trouve FSS.exe.
Copier/colle ce rapport d'analyse dans la prochaine réponse.
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: Infecté par atraps.gen2

Messagepar moriarti » 19 Sep 2012 22:32

Voici le scan en question:

Merci

Farbar Service Scanner Version: 19-09-2012
Ran by yves (administrator) on 19-09-2012 at 23:30:48
Running from "C:\Users\yves\Downloads"
Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 2 (X86)
Boot Mode: Normal
****************************************************************

Internet Services:
============

Connection Status:
==============
Localhost is accessible.
LAN connected.
Google IP is accessible.
Google.com is accessible.
Yahoo IP is accessible.
Yahoo.com is accessible.


Windows Firewall:
=============
mpsdrv Service is not running. Checking service configuration:
The start type of mpsdrv service is OK.
The ImagePath of mpsdrv service is OK.

MpsSvc Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open MpsSvc registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open MpsSvc registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open MpsSvc registry key. The service key does not exist.

bfe Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist.


Firewall Disabled Policy:
==================


System Restore:
============

System Restore Disabled Policy:
========================


Security Center:
============
wscsvc Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.


Windows Update:
============
wuauserv Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open wuauserv registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open wuauserv registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open wuauserv registry key. The service key does not exist.

BITS Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to retrieve start type of BITS. The value does not exist.
Checking ImagePath: ATTENTION!=====> Unable to retrieve ImagePath of BITS. The value does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open BITS registry key. The service key does not exist.


Windows Autoupdate Disabled Policy:
============================


Windows Defender:
==============
WinDefend Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist.


Other Services:
==============
Checking Start type of SharedAccess: ATTENTION!=====> Unable to retrieve start type of SharedAccess. The value does not exist.
Checking ImagePath of SharedAccess: ATTENTION!=====> Unable to retrieve ImagePath of SharedAccess. The value does not exist.
Checking ServiceDll of SharedAccess: ATTENTION!=====> Unable to open SharedAccess registry key. The service key does not exist.


File Check:
========
C:\Windows\system32\nsisvc.dll => MD5 is legit
C:\Windows\system32\Drivers\nsiproxy.sys => MD5 is legit
C:\Windows\system32\dhcpcsvc.dll => MD5 is legit
C:\Windows\system32\Drivers\afd.sys => MD5 is legit
C:\Windows\system32\Drivers\tdx.sys => MD5 is legit
C:\Windows\system32\Drivers\tcpip.sys => MD5 is legit
C:\Windows\system32\dnsrslvr.dll => MD5 is legit
C:\Windows\system32\mpssvc.dll => MD5 is legit
C:\Windows\system32\bfe.dll => MD5 is legit
C:\Windows\system32\Drivers\mpsdrv.sys => MD5 is legit
C:\Windows\system32\SDRSVC.dll => MD5 is legit
C:\Windows\system32\vssvc.exe => MD5 is legit
C:\Windows\system32\wscsvc.dll => MD5 is legit
C:\Windows\system32\wbem\WMIsvc.dll => MD5 is legit
C:\Windows\system32\wuaueng.dll => MD5 is legit
C:\Windows\system32\qmgr.dll => MD5 is legit
C:\Windows\system32\es.dll => MD5 is legit
C:\Windows\system32\cryptsvc.dll => MD5 is legit
C:\Program Files\Windows Defender\MpSvc.dll => MD5 is legit
C:\Windows\system32\svchost.exe => MD5 is legit
C:\Windows\system32\rpcss.dll => MD5 is legit


**** End of log ****
moriarti
 
Messages: 4
Inscription: 18 Sep 2012 14:59

Re: Infecté par atraps.gen2

Messagepar zaede » 20 Sep 2012 12:52

Bonjour moriarti, Il a fait du dégât le ZeroAccess

Il a fait du dégât le ZeroAccess


Télécharge wuauserv.reg enregistre ce fichier sur le bureau

Double clic sur wuauserv.reg et accepte la fusion avec le registre.

Télécharge Bits.reg enregistre ce fichier sur le bureau

Double clic sur Bits.reg et accepte la fusion avec le registre
Redémarre ton PC pour que les changements soient pris en compte et tente de faire une mise à jour

Il restera trois autres services a remettre ensuite
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53


Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités