Bonjour,

Comme d'autres auparavant, je suis aussi confronté au virus TR/ATRAPS.Gen2, lequel n'est pas supprimé par Antivir.

Pouvez-vous m'aider?

Merci d'avance

Bonjour rouletabille et bienvenue sur libellules.ch

Je vais prendre ton sujet en charge, la désinfection devra être suivie jusqu'à ce que le PC soit propre.

Pour plus de lisibilité sur le forum les rapports demandés devront être postés (si il y a plusieurs) en lien et dans la même réponse en utilisant cet hébergeur de fichiers

On va commencer par ce scan :

Scan RogueKiller

Télécharge Roguekiller (par tigzy) sur le bureau

• Lance RogueKiller.exe.
• Accepte la licence
  
  
  
• Attends la fin du pré-scan
• Clique sur le bouton Scan
  
  
  
• Laisse l'outil travailler ne touche ni au clavier ni à la souris
• Ne supprime rien sans mon accord
• Un rapport (RKreport.txt) se créera à côté de l'exécutable, colle son contenu dans ta prochaine réponse

Voici ce que j'obtiens :

RogueKiller V8.4.0 [Dec 15 2012] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion- ... ntees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Simon [Droits d'admin]
Mode : Recherche -- Date : 15/12/2012 16:21:32

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 3 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : taprte (rundll32.exe "C:\Users\Simon\AppData\Roaming\taprte.dll",AGetReport) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-3799954329-621549533-4250650775-1000[...]\Run : taprte (rundll32.exe "C:\Users\Simon\AppData\Roaming\taprte.dll",AGetReport) -> TROUVÉ
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-21-3799954329-621549533-4250650775-1000\$df0dcb2beff964c4ced1139dc83e2345\n.) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-18\$df0dcb2beff964c4ced1139dc83e2345\n --> TROUVÉ
[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-18\$df0dcb2beff964c4ced1139dc83e2345\@ --> TROUVÉ
[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-21-3799954329-621549533-4250650775-1000\$df0dcb2beff964c4ced1139dc83e2345\@ --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-18\$df0dcb2beff964c4ced1139dc83e2345\U --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-21-3799954329-621549533-4250650775-1000\$df0dcb2beff964c4ced1139dc83e2345\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\$recycle.bin\S-1-5-18\$df0dcb2beff964c4ced1139dc83e2345\L --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\$recycle.bin\S-1-5-21-3799954329-621549533-4250650775-1000\$df0dcb2beff964c4ced1139dc83e2345\L --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini --> TROUVÉ

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: TOSHIBA MK5076GSX +++++
--- User ---
[MBR] 4aa60032028cfbdf27afec1e008f1f8b
[BSP] ba65921aebb208850d9b6c4c58b7d0a4 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 459669 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 941811712 | Size: 16967 Mo
3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 976560128 | Size: 103 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1]_S_15122012_162132.txt >>
RKreport[1]_S_15122012_162132.txt

C'est un rootkit ZeroAcces

Procédure à suivre en entier

Les rapports demandés doivent être postés en lien et dans la même réponse en utilisant cet hébergeur de fichiers

RogueKiller Suppression

• Lance RogueKiller.exe.
• Pour Vista et Seven fais un clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
• Attends la fin du pré-scan
• Clique sur le bouton Scan ce dernier terminé clique sur Suppression
  
  
  
• Laisse l'outil travailler ne touche ni au clavier ni à la souris
• Un rapport (RKreport.txt) se créera à côté de l'exécutable, colle son contenu dans ta prochaine réponse

Note: Deux rapports seront créés c'est le second qui doit être posté


Suis aussi cette autre pocédure :


Scan TDSS Killer

Étape 1: TDSSKiller (de Kaspersky), installation
Téléchargez tdsskiller.zip depuis le lien ci-dessous:
http://support.kaspersky.com/fr/downloads/utils/tdsskiller.zip

Extrayez de l'archive téléchargée le fichier TDSSKiller.exe et placez-le sur le Bureau.


Étape 2: TDSSKiller (de Kaspersky), exécution
Faites un double clic sur TDSSKiller.exe pour le lancer.

L'écran de TDSSKiller s'affiche:


Cliquez sur Change parameters

L'écran Settings de TDSSKiller s'affiche:


Cochez la case située devant Loaded modules

Il y a immédiatement ouverture d'une petite fenêtre "Reboot is required".


Cliquez sur le bouton Reboot now, ce qui va provoquer un redémarrage du PC.

Le PC redémarre.

TDSSKiller va se lancer automatiquement après ce redémarrage, et votre PC peut alors sembler être très lent et inutilisable.

Soyez patient, et attendez que vos programmes se chargent.

L'écran de TDSSKiller s'affiche:


Cliquez sur Change parameters

L'écran Settings de TDSSKiller s'affiche.
Cochez toutes les cases, comme ceci:


puis cliquez sur le bouton OK.

Cliquez maintenant sur Start scan pour lancer l'analyse.

Déroulement de l'analyse:


Lorsque l'outil a terminé son travail d'inspection (ce qui prend quelques minutes),

Si des objets nuisibles ("Malware objects") ont été détectés, le programme sélectionne automatiquement l'action à effectuer:

*- soit Cure - option par défaut, ne la modifiez pas
*- soit Skip - dans ce cas, cliquez sur la petite flèche vers le bas située à coté de Skip afin d'ouvrir la liste des options disponibles. Si Cure est présent, il faut le sélectionner, sinon ne modifiez rien.
*- soit Delete - dans ce cas, cliquez sur la petite flèche vers le bas située juste à côté de Delete afin d'ouvrir la liste des options disponibles. Puis dans le menu déroulant choisissez Skip. Ne laissez pas l'option Delete sans que cela vous soit expressément demandé.

Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, laissez l'action à entreprendre sur Skip:


Ensuite cliquez sur le bouton Continue

Un redémarrage est nécessaire:


Cliquez sur Reboot computer


Étape 3: Résultats
Envoyez en réponse:
*- le rapport de TDSSKiller (contenu du fichier %SystemDrive%\TDSSKiller.Version_Date_Heure_log.txt)
%SystemDrive% représente la partition sur laquelle est installé le système, généralement C:

Bonjour,
J'ai effectué les démarches suivantes. J'ai obtenu deux reports rogue killer que voici : http://cjoint.com/?3LpsGvcx19V et http://cjoint.com/?3LpsHemQLJn
Après avoir effectué le TDSSKiller, je n'ai que 2 threats que je ne peux que "skipper". Je n'ai donc pas du redémarrer mon ordi. Voici le rapport : http://cjoint.com/?3LpsP1pKwJc

Que dois-je faire ensuite?

Merci

Redémarre ton PC,
Refais un scan avec RogueKiller poste ensuite son rapport en lien

Voici le lien de mon dernier rapport : http://cjoint.com/?3Lqn3DVUj5X

Bonjour rouletabille

Il reste encore des traces du rookit dans ton dernier rapport.

Il faudra redémarrer ton PC avant de poster le rapport de RogueKiller.


RogueKiller Suppression

• Lance RogueKiller.exe.
• Pour Vista et Seven fais un clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
• Attends la fin du pré-scan
• Clique sur le bouton Scan ce dernier terminé clique sur Suppression
  
  
  
• Laisse l'outil travailler ne touche ni au clavier ni à la souris
• Un rapport (RKreport.txt) se créera à côté de l'exécutable, colle son contenu dans ta prochaine réponse

Note: Deux rapports seront créés c'est le second qui doit être posté

J'ai redémarré mon ordi et refait le test. Voici ce que j'obtiens : http://cjoint.com/?3LqqGrEINKI
Est-ce que c'est bon?

Parfait maintenant suis cette procédure :

Scan ZHPDiag

Le rapport de ZHPDiag doit être posté en lien, il est parfois trop long pour tenir dans une réponse.

• Télécharge ZHPDiag (de Nicolas coolman)
  
  
  
• Double clique sur le fichier téléchargé, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher Créer une icône sur le bureau)
• Pour Vista et Windows 7 clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
• Trois icônes seront crées sur le bureau lors de son installation
  
  
• Lance ZHPDiag en double cliquant sur son icône présente sur le bureau
• Pour Vista et Windows 7 clic droit sur le raccourci de ZHPDiag et Exécuter en tant qu'administrateur
• Clique sur le bouton Tournevis (Options)
• Coche toutes les cases sauf celle devant :
  
  
  • Derniers fichiers créés dans Windows Prefetcher (045)
  • Derniers fichiers modifiés ou crées (Utilsateur) (061)
  • Alternate Data Stream File (062)
• Clique en haut à gauche sur la loupe
  
  
  
• Laisse le scan se dérouler.
  
  
• Le scan terminé, clique sur la disquette
• Enregistre le rapport sur le bureau.
• Sinon le rapport se trouvera aussi ici ==> c:\ZHP\ZHPDiag.txt

Pour poster le rapport en lien dans ta réponse utilise cet hébergeur de fichiers :

C'est fait. Voici le résultat obtenu : http://cjoint.com/?3LqsBNDSEB7

Il a encore une belle petite rougeole ton PC

Procédure à suivre en entier

Tous les rapports demandés doivent être postés en lien et dans la même réponse en utilisant cet hébergeur de fichiers


AdwCleaner Suppression

Télécharge AdwCleaner ( d'Xplode ) Enregistre ce fichier sur le bureau et pas ailleurs

• Double clique sur AdwCleaner.exe qui est sur le bureau.
• Pour Vista et Seven fais un clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
  Clique sur Suppression
  
  
• Laisse l'outil travailler
• Le scan terminé, le bloc notes s'ouvrira avec le résultat du scan. Poste son contenu en lien dans ta prochaine réponse.
• Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Scan Malwarebyte's

Télécharge Enregistre ce fichier sur le bureau

• Le téléchargement terminé ferme ton navigateur ainsi que toutes les applications en cours
• Fais un double-clic sur mbam-setup.exe afin de lancer l'installation
• Pour Vista et Windows 7 clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
• Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.
  
• MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boite de dialogue.
• La mise à jour faite :
• Sélectionne Exécuter un examen rapide si ce n'est pas déja fait
• clique sur Rechercher
  
  • Si MalwareByte's n'a rien détecté, clique sur Ok Un rapport va apparaître ferme-le.
  • Si MalwareByte's a détecté des infections :
  • Clique sur Afficher les résultats
  • Ensuite sur Supprimer la sélection
• Poste le rapport de MalwareByte's Anti-Malware
• Le rapport de MalwareByte's peut être retrouvé sous l'onglet Rapports/logs
• Note : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok
• Aide pour MalwareByte's Lien

Nouveau scan ZHPDiag

Refais un scan avec ZHPDiag poste ensuite son rapport en lien.

Note : Tu as trois rapports à poster

Bonsoir,
qu'est ce que vous entendez par belle petite rougeole?

Voici les 3 rapports : http://cjoint.com/?3LqvaxuwwZC
http://cjoint.com/?3LqvbubxTV4
http://cjoint.com/?3LqvcpLkJt7

Merci

J'entends par la qu'il est encore bien infecté

Les infections détectées par Malwarebyte's ont t-elles été supprimées ?
Je n'aurais pas du voir dans le rapport Aucune action effectuée. mais Mis en quarantaine et supprimé avec succès.

Je n'ai probablement pas posté le bon rapport. En voici un dans lequel les fichiers pré-sélectionnés automatiquement ont bien été supprimés.
http://cjoint.com/?3Lqv1PmweH7

On continue le nettoyage de ce PC.

Script ZHPFix

Le temps de téléchargement du script a été volontairement limité à 4 jours

• Clique sur Script ZHPFix
• Sur la page qui s'ouvre clic droit et Tout sélectionner
• Refais un clic droit et Copier
• Double clique sur qui est sur le bureau.
• Pour Vista et Seven fais un clic droit sur le raccourci de ZHPFix et Exécuter en tant qu'adminstrateur
• Clique en haut à gauche sur la deuxième icône (colller le presse papiers)
• Le texte copié dans le presse papiers s'affichera dans la fenêtre de ZHPFix
  
  
  
• Clique sur Go
• Confirme le nettoyage des données si demandé
  
  
  
• Patiente le temps du traitement
• Un rapport nommé ZHPFix[R*].txt sera créé et sauvegardé sur le bureau poste son contenu en lien dans ta prochaine réponse
• Ce rapport se trouve aussi ici C:\ZHP\ZHPFix[R*].txt

Nouveau scan ZHPDiag

Refais un scan avec ZHPDiag poste ensuite son rapport en lien.

Note : Tu as deux rapports à poster

Voici le rapport ZHPDiag : http://cjoint.com/?3Lqw53A4Pb7
et l'autre http://cjoint.com/?3Lqxd1gMnIG

Bonjour rouletabille

On poursuit le nettoyage de ton PC :

Script ZHPFix

Le temps de téléchargement du script a été volontairement limité à 4 jours

• Clique sur Script ZHPFix
• Sur la page qui s'ouvre clic droit et Tout sélectionner
• Refais un clic droit et Copier
• Double clique sur qui est sur le bureau.
• Pour Vista et Seven fais un clic droit sur le raccourci de ZHPFix et Exécuter en tant qu'adminstrateur
• Clique en haut à gauche sur la deuxième icône (colller le presse papiers)
• Le texte copié dans le presse papiers s'affichera dans la fenêtre de ZHPFix
  
  
  
• Clique sur Go
• Confirme le nettoyage des données si demandé
  
  
  
• Patiente le temps du traitement
• Un rapport nommé ZHPFix[R*].txt sera créé et sauvegardé sur le bureau poste son contenu en lien dans ta prochaine réponse
• Ce rapport se trouve aussi ici C:\ZHP\ZHPFix[R*].txt

Je te fais passer un autre scan pour vérifier l'état de certains services :

Farbar Service Scanner

Télécharge Farbar Service Scanner Farbar Service Scanner sur le bureau

• Vérifie que les options ci-dessous sont cochées:
  
  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center
  • Windows Update
  • Windows Defender
• Clique sur Scan
  
  
  
• Un rapport d'analyse (FSS.txt) va etre généré dans le dossier où se trouve FSS.exe.
• Fait un copier/coller de ce rapport d'analyse dans ta prochaine réponse réponse.

Note : Tu as deux rapports à poster

Bonjour,
Voici mes deux rapports : http://cjoint.com/?3LrlrewCPz4 et http://cjoint.com/?3LrlrBFyaPE

Je n'ai pas demandé un nouveau rapport de ZHPDiag mains un scan avec Farbar Service Scanner, relis bien ma précédente réponse.