Bonsoir à tous,

Voila le problème; il y a de cela maintenant 3 jours que j'ai été infecté par le virus de la gendarmerie nationale. Cela n'étant pas la 1ère fois, je m'en suis rapidement débarrassé ( enfin je le croyais ) et depuis 2 jours mon antivirus avira ne cesse de se déclencher et de me dire qu'il a détécté le virus TR/ ATRAPS.GEN ou le virus TR/ATRAPS.GEN2 ou encore les 2 à la fois( ou 3 ??? ) . Malgré de nombreux essais, avec malwarebites anti-malware, avira ou encore trojan flamer, les virus sont encore là. De plus internet explorer semble ne plus fonctionner, et après avoir visité plusieurs forums traitant du même problème j'ai fait une restauration système antérieur au problème. Depuis je n'ai plus de problème avec internet explorer mais avira continu de m'indiquer qu'il y a le virus TR/ ATRAPS.GEN ou TR/ATRAPS.GEN2. J'ai commencé à suivre le traitement ( avec roguekiller ) vu sur ce forum concernant le même problème, avant de voir la règle du topic stipulant qu'il ne fallait pas le faire. Bref, je ne sais plus quoi faire, alors si quelqu'un pouvait me venir en aide ce serait très sympa de sa part. C'est très urgent.

Merci beaucoup d'avance.

P.S : Je débute en informatique, alors excusez-moi si j'ai fait une ( ou des ) bétise(s). Je suis sur un ordi de bureau sous vista.

Bonjour mephisto et bienvenue sur libellules.ch

Je vais prendre ton sujet en charge, la désinfection devra être suivie jusqu'à ce que le PC soit propre.

Pour plus de lisibilité sur le forum les rapports demandés devront être postés (si il y a plusieurs) en lien et dans la même réponse en utilisant cet hébergeur de fichiers


Scan RogueKiller

Télécharge Roguekiller (par tigzy) sur le bureau

• Lance RogueKiller.exe.
• Accepte la licence
  
  
  
• Attends la fin du pré-scan
• Clique sur le bouton Scan
  
  
  
• Laisse l'outil travailler ne touche ni au clavier ni à la souris
• Ne supprime rien sans mon accord
• Un rapport (RKreport.txt) se créera à côté de l'exécutable, colle son contenu dans ta prochaine réponse

Bonjour et merci de bien vouloir m'aider.

Tout d'abord je dois vous dire qu'hier avant d'avoir demandé votre aide, j'ai utilisé roguekiller et supprimé ce qu'il avait trouvé( j'espère n'avoir rien fait d'irréparable ). J'ai fait aujourd'hui ce que vous m'aviez dit et voilà les trois rapports :

Scan ( précédant le post ) : http://cjoint.com/?BLDlGLi4huI
Scan ( après la suppréssion ) : http://cjoint.com/?BLDlH1NG9tb
Scan ( aujourd'hui sans suppréssion ) : http://cjoint.com/?BLDlIRB0oki

Depuis la suppréssion effectuée hier avira a cessé de m'indiquer la présence d'un ( ou des ) virus. Mais lors du scan roguekiller, le message : " ZeroAccess" est apparu et clignote.
Excusez moi si j'ai fait une erreur. Et encore merci de votre aide.

Bonjour mephisto

Il n'y a pas eu d'erreur de faite mais, il reste encore des traces du rootkit dans le dernier rapport de RogueKiller, on va prendre les mesures qui s'imposent :

RogueKiller Suppression

• Lance RogueKiller.exe.
• Pour Vista et Seven fais un clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
• Attends la fin du pré-scan
• Clique sur le bouton Scan ce dernier terminé clique sur Suppression
  
  
  
• Laisse l'outil travailler ne touche ni au clavier ni à la souris
• Un rapport (RKreport.txt) se créera à côté de l'exécutable, colle son contenu dans ta prochaine réponse

Note: Deux rapports seront créés c'est le second qui doit être posté

Suis aussi cette autre procédure :


Scan TDSS Killer

Étape 1: TDSSKiller (de Kaspersky), installation
Téléchargez tdsskiller.zip depuis le lien ci-dessous:
http://support.kaspersky.com/fr/downloads/utils/tdsskiller.zip

Extrayez de l'archive téléchargée le fichier TDSSKiller.exe et placez-le sur le Bureau.


Étape 2: TDSSKiller (de Kaspersky), exécution
Faites un double clic sur TDSSKiller.exe pour le lancer.

L'écran de TDSSKiller s'affiche:


Cliquez sur Change parameters

L'écran Settings de TDSSKiller s'affiche:


Cochez la case située devant Loaded modules

Il y a immédiatement ouverture d'une petite fenêtre "Reboot is required".


Cliquez sur le bouton Reboot now, ce qui va provoquer un redémarrage du PC.

Le PC redémarre.

TDSSKiller va se lancer automatiquement après ce redémarrage, et votre PC peut alors sembler être très lent et inutilisable.

Soyez patient, et attendez que vos programmes se chargent.

L'écran de TDSSKiller s'affiche:


Cliquez sur Change parameters

L'écran Settings de TDSSKiller s'affiche.
Cochez toutes les cases, comme ceci:


puis cliquez sur le bouton OK.

Cliquez maintenant sur Start scan pour lancer l'analyse.

Déroulement de l'analyse:


Lorsque l'outil a terminé son travail d'inspection (ce qui prend quelques minutes),

Si des objets nuisibles ("Malware objects") ont été détectés, le programme sélectionne automatiquement l'action à effectuer:

*- soit Cure - option par défaut, ne la modifiez pas
*- soit Skip - dans ce cas, cliquez sur la petite flèche vers le bas située à coté de Skip afin d'ouvrir la liste des options disponibles. Si Cure est présent, il faut le sélectionner, sinon ne modifiez rien.
*- soit Delete - dans ce cas, cliquez sur la petite flèche vers le bas située juste à côté de Delete afin d'ouvrir la liste des options disponibles. Puis dans le menu déroulant choisissez Skip. Ne laissez pas l'option Delete sans que cela vous soit expressément demandé.

Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, laissez l'action à entreprendre sur Skip:


Ensuite cliquez sur le bouton Continue

Un redémarrage est nécessaire:


Cliquez sur Reboot computer


Étape 3: Résultats
Envoyez en réponse:
*- le rapport de TDSSKiller (contenu du fichier %SystemDrive%\TDSSKiller.Version_Date_Heure_log.txt)
%SystemDrive% représente la partition sur laquelle est installé le système, généralement C:


Note : Tu as deux rapports à poster.

Très bien, TDSSKiller ne me demande pas de faire un redémarrrage la 2ème fois. Il n'a trouvé que des objets suspicieux, voilà les rapports :

Rapport scan roguekiller : http://cjoint.com/?BLDnbb1AhLv
Rapport TDSSKiller : http://cjoint.com/?BLDnrLSACOm

Le rapport ne sera pas sur le bureau mais à la racine du disque C

Très bien, TDSSKiller ne me demande pas de faire un redémarrrage la 2ème fois. Il n'a trouvé que des objets suspicieux, voilà les rapports :

Rapport scan roguekiller : http://cjoint.com/?BLDnbb1AhLv
Rapport TDSSKiller : http://cjoint.com/?BLDnrLSACOm

P.S : Désolé pour le double post.

Parfait on peut passer à la suite :

Scan ZHPDiag

Le rapport de ZHPDiag doit être posté en lien, il est parfois trop long pour tenir dans une réponse.

• Télécharge ZHPDiag (de Nicolas coolman)
  
  
  
• Double clique sur le fichier téléchargé, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher Créer une icône sur le bureau)
• Pour Vista et Windows 7 clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
• Trois icônes seront crées sur le bureau lors de son installation
  
  
• Lance ZHPDiag en double cliquant sur son icône présente sur le bureau
• Pour Vista et Windows 7 clic droit sur le raccourci de ZHPDiag et Exécuter en tant qu'administrateur
• Clique sur le bouton Tournevis (Options)
• Coche toutes les cases sauf celle devant :
  
  
  • Derniers fichiers créés dans Windows Prefetcher (045)
  • Derniers fichiers modifiés ou crées (Utilsateur) (061)
  • Alternate Data Stream File (062)
• Clique en haut à gauche sur la loupe
  
  
  
• Laisse le scan se dérouler.
  
  
• Le scan terminé, clique sur la disquette
• Enregistre le rapport sur le bureau.
• Sinon le rapport se trouvera aussi ici ==> c:\ZHP\ZHPDiag.txt

Pour poster le rapport en lien dans ta réponse utilise cet hébergeur de fichiers :

J'ai un problème avec le scan : j'ai le message " Violation d'accès à l'adresse 775E9826 dans le module ntdll. dll. Ecriture de l'adresse 00407EB8". Je ne peux que cliquer sur ok et puis le scan se bloque et reste en traitement sans avancer depuis 2h.

Ok, on va utiliser un autre scanneur :


Les rapports d'Otl doivent être postés en lien, ils sont parfois trop longs pour tenir dans une réponse.

• Télécharge OTL de (Old_Timer)
• Double-clique sur OTL.exe qui est sur le Bureau pour le lancer.
• Pour Vista et Seven faire un clic droit sur le fichier téléchargé et Exécuter en tant qu'adminstrateur

• Coche Tous les utilisateurs
• Règle Age des fichiers sur 60 jours
• Coche Recherche lop et Recherche purity
• Si tu as une version 64 bits de Windows coche aussi la case 64 bits qui est en dessous de Tous les utilisateurs.

Copie/colle le texte qui est dans cadre code sous l'emplacement Personnalisation

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
explorer.exe
userinit.exe
winlogon.exe
wininit.exe
csrss.exe
smss.exe
svchost.exe
services.exe
spoolsv.exe
alg.exe
ctfmon.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
i8042prt.sys
cdrom.sys
disk.sys
ndis.sys
tcpip.sys
imapi.sys
RDPCDD.sys
mountmgr.sys
aec.sys
rasacd.sys
redbook.sys
intelide.sys
mrxsmb10.sys
mrxsmb20.sys
termdd.sys
mrxsmb.sys
win32k.sys
storport.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT

• Clique sur le bouton Analyse rapide
• Ne change aucun réglage, sauf si cela t'es demandé par l'outil.
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront dans le Bloc-Notes.

Poste le contenu de OTL.txt (qui sera affiché) ainsi que de Extras.txt (qui sera réduit dans la Barre des Tâches) en lien.

Pour poster les rapports en lien utilise

J'ai malencontresement réglé l'age du fichier sur 30 jours et les cases avec listes blanches des sociétés, sans fichiers microsoft et aucun ( dans registre approfondi) sont cochées. Est-ce grave ?

Ce n'est pas grave tu peux continuer

Voila les rapports :

Extras.txt : http://cjoint.com/?BLDqWP0WibB

OTL.txt : http://cjoint.com/?BLDqZoAJqQY

Il y a encore des traces d'infection je te fais passer un autre scan :

Scan AdwCleaner


Télécharge AdwCleaner ( d'Xplode ) Enregistre ce fichier sur le bureau et pas ailleurs

• Double clique sur AdwCleaner.exe qui est sur le bureau.
• Pour Vista et Seven fais un clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
• Clique sur Recherche
  
  
  
• Laisse l'outil travailler
• Le scan terminé, le bloc notes s'ouvrira avec le résultat du scan. Poste son contenu en lien dans ta prochaine réponse.
• Le rapport est également sauvegardé sous C:\AdwCleaner[R1].txt

Voilà le rapport : http://cjoint.com/?BLDrNEgi3yj

Il y a du mode au balcon la

AdwCleaner Suppression

• Double clique sur AdwCleaner.exe qui est sur le bureau.
• Pour Vista et Seven fais un clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
  Clique sur Suppression
  
  
• Laisse l'outil travailler
• Le scan terminé, le bloc notes s'ouvrira avec le résultat du scan. Poste son contenu en lien dans ta prochaine réponse.
• Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Refais un scan avec OTL poste ensuite le contenu de OTL.txt en lien

Note : Tu as deux rapports à poster

Adwcleaner m'a demandé de redémarrer l'ordinateur, ce que j'ai fait, mais l'écran est, maintenant, tout noir avec au centre la fenêtre d'AdwCleaner en attente d'une action.

Clique de nouveau sur le bouton suppression

Avira m'a de nouveau dit qu'il détéctait 3 virus. Sinon voilà les rapports :

AdwCleaner : http://cjoint.com/?BLDtjcv8yP7

Je fais le scan OTL actuellement.

Pendant que tu y est refais un scan avec RogueKiller poste ensuite son rapport cela ne me plait pas du tout cette alerte d'Avira.