[Résolu] Infection ATRAPS.gen2

[pear]

Je pense que c'est causé par l'UAC.

 

L'UAC est un système mis en place par Microsoft depuis la version Vista, une alerte s'affiche pour permettre l'élévation de privilèges administrateurs pour permettre les opérations administrateurs (tentative de modifications du systèmes, accès à des fichiers administrateurs etc..).

Ceci peut permettre la protection des infections via par exemple des exploits sur les sites WEB puisque l'infection aura besoin des droits administrateurs pour infecter le système, l'UAC se déclenchera via une alerte, vous pourrez alors empécher l'infection du système en refusant l'élvation de privilèges.

 

 

Certains utilitaires peuvent avoir besoin que l'on désactive temporairement l'UAC pour s'installer.

 

Sous Vista/7 ,Désactiver l'UAC

Pour cela, ouvrez le panneau de configuration puis cliquez en haut à droite sur Comptes d'utilisateurs

Dans Comptes d'utilisateurs, cliquez sur la dernière option Activer ou désactiver le contrôle des comptes d'utilisateurs

Décochez l'option, Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger le système

Sous Win 7, placez le curseur tout en bas sur "Ne jamais m'avertir".

Une popup s'ouvre alors pour vous demander de redémarrer l'ordinateur, cliquez alors sur Redémarrer maintenant

Il faudra réactiver l'UAC afin de protéger votre ordinateur après la procédure en cours.

Pour cela, recocher l'option Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger le système

 

Si vous êtes sous Windows 7:

UAC Seven

 

Désactiver UAC par le régistre:

Copier/Coller dans le bloc-note.:

 

C:\Windows\System32\cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

/v EnableLUA /t REG_DWORD /d 0 /f

 

Enregistrer le fichier sous un nom comme UAC non.bat

.clic droit sur votre fichier .bat et cliquer dans le menu contextuel sur l'option « Exécuter en tant qu'administrateur ».

 

 

Et pour RéActiver l'UAC: UAC oui.bat

 

C:\Windows\System32\cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

/v EnableLUA /t REG_DWORD /d 1

[Ayfe]

Je ne trouve pas l'option dans le panneau de configuration à moins que l'option sois "modifier les paramètres de contrôle de compte"

mais quand je clique dessus j'ai le même message d'erreur.

 

La commande ne change rien.

 

 

edit :

 

 

J'ai réussi a changé ça en passant en mode sans échec.

 

Je vais essayé de le réactivé et voir ce qu'il en est. Derrière je ferai un scan Avira pour voir si le trojan est toujours la.

Modifié le 24 janvier 2013 par Ayfe

[Ayfe]

Alors après redémarrage du PC je peux réactivé les applications, logiciels du coup j'ai remis la valeur par défaut de l'UAC

 

Je n'ai pas lancé le bout de code en .bat

 

J'ai fait un scan Avira, mais j'ai toujours 9 avertissements dont 1 seul qui a été réparé et toujours l'apparition du fameux ATRAPS

 

Mais je suis affecté par le .gen2 ET le .gen aussi maintenant.

 

Par contre plus de fenêtre de pop up de la par d'avira qui apparaît et plus d'Adobe qui s'ouvre pour mise à jour.

[pear]

je suis affecté par le .gen2 ET le .gen aussi maintenant

 

J'avoue avoir un peu de mal à vous suivre !

 

Vous pourriez poster le rapport Avira, svp ,

Modifié le 24 janvier 2013 par pear

[Ayfe]

Désolé je suis un peu brouillon.

 

Autant pour moi je viens de lire le rapport et les dernières lignes m'indique qu'ils ont bien été déplacé en quarantaine.

 

Voici le rapport :

 

 

Avira Free Antivirus

Date de création du fichier de rapport : jeudi 24 janvier 2013 19:58

 

 

Le programme fonctionne en version intégrale illimitée.

Les services en ligne sont disponibles.

 

Détenteur de la licence : Avira Free Antivirus

Numéro de série : 0000149996-ADJIE-0000001

Plateforme : Windows 7 Home Premium

Version de Windows : (Service Pack 1) [6.1.7601]

Mode Boot : Démarré normalement

Identifiant : Système

Nom de l'ordinateur : AYFE-PC

 

Informations de version :

BUILD.DAT : 13.0.0.526 48565 Bytes 18/12/2012 15:23:00

AVSCAN.EXE : 13.6.0.402 639264 Bytes 18/12/2012 13:34:33

AVSCANRC.DLL : 13.4.0.360 65312 Bytes 29/11/2012 12:54:53

LUKE.DLL : 13.6.0.400 67360 Bytes 18/12/2012 13:34:41

AVSCPLR.DLL : 13.6.0.402 93984 Bytes 18/12/2012 13:34:33

AVREG.DLL : 13.6.0.406 248096 Bytes 18/12/2012 13:34:32

avlode.dll : 13.6.1.402 428832 Bytes 18/12/2012 13:34:32

avlode.rdf : 13.0.0.26 7958 Bytes 27/11/2012 11:26:24

VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 08:05:36

VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 10:17:38

VBASE002.VDF : 7.11.19.170 14374912 Bytes 20/12/2011 10:17:43

VBASE003.VDF : 7.11.21.238 4472832 Bytes 01/02/2012 10:17:45

VBASE004.VDF : 7.11.26.44 4329472 Bytes 28/03/2012 09:27:06

VBASE005.VDF : 7.11.34.116 4034048 Bytes 29/06/2012 10:28:28

VBASE006.VDF : 7.11.41.250 4902400 Bytes 06/09/2012 10:28:31

VBASE007.VDF : 7.11.50.230 3904512 Bytes 22/11/2012 10:28:32

VBASE008.VDF : 7.11.55.142 2214912 Bytes 03/01/2013 18:57:12

VBASE009.VDF : 7.11.55.143 2048 Bytes 03/01/2013 18:57:12

VBASE010.VDF : 7.11.55.144 2048 Bytes 03/01/2013 18:57:12

VBASE011.VDF : 7.11.55.145 2048 Bytes 03/01/2013 18:57:12

VBASE012.VDF : 7.11.55.146 2048 Bytes 03/01/2013 18:57:12

VBASE013.VDF : 7.11.55.196 260096 Bytes 04/01/2013 18:57:12

VBASE014.VDF : 7.11.56.23 206848 Bytes 07/01/2013 18:57:13

VBASE015.VDF : 7.11.56.83 186880 Bytes 08/01/2013 18:57:13

VBASE016.VDF : 7.11.56.145 135168 Bytes 09/01/2013 18:57:13

VBASE017.VDF : 7.11.56.211 139776 Bytes 11/01/2013 18:57:13

VBASE018.VDF : 7.11.57.11 153088 Bytes 13/01/2013 18:57:13

VBASE019.VDF : 7.11.57.75 165888 Bytes 15/01/2013 18:57:14

VBASE020.VDF : 7.11.57.163 190976 Bytes 17/01/2013 18:57:14

VBASE021.VDF : 7.11.57.219 119808 Bytes 18/01/2013 18:57:14

VBASE022.VDF : 7.11.58.7 167936 Bytes 21/01/2013 18:57:14

VBASE023.VDF : 7.11.58.49 140288 Bytes 22/01/2013 18:57:14

VBASE024.VDF : 7.11.58.119 137728 Bytes 24/01/2013 18:57:15

VBASE025.VDF : 7.11.58.120 2048 Bytes 24/01/2013 18:57:15

VBASE026.VDF : 7.11.58.121 2048 Bytes 24/01/2013 18:57:15

VBASE027.VDF : 7.11.58.122 2048 Bytes 24/01/2013 18:57:15

VBASE028.VDF : 7.11.58.123 2048 Bytes 24/01/2013 18:57:15

VBASE029.VDF : 7.11.58.124 2048 Bytes 24/01/2013 18:57:15

VBASE030.VDF : 7.11.58.125 2048 Bytes 24/01/2013 18:57:15

VBASE031.VDF : 7.11.58.140 27136 Bytes 24/01/2013 18:57:15

Version du moteur : 8.2.10.238

AEVDF.DLL : 8.1.2.10 102772 Bytes 18/12/2012 10:28:01

AESCRIPT.DLL : 8.1.4.84 467322 Bytes 24/01/2013 18:57:20

AESCN.DLL : 8.1.10.0 131445 Bytes 24/01/2013 18:57:19

AESBX.DLL : 8.2.5.12 606578 Bytes 18/12/2012 10:28:01

AERDL.DLL : 8.2.0.88 643444 Bytes 24/01/2013 18:57:19

AEPACK.DLL : 8.3.1.2 819574 Bytes 24/01/2013 18:57:19

AEOFFICE.DLL : 8.1.2.50 201084 Bytes 18/12/2012 10:28:00

AEHEUR.DLL : 8.1.4.182 5706104 Bytes 24/01/2013 18:57:18

AEHELP.DLL : 8.1.25.2 258423 Bytes 18/12/2012 10:27:56

AEGEN.DLL : 8.1.6.16 434549 Bytes 24/01/2013 18:57:16

AEEXP.DLL : 8.3.0.14 188788 Bytes 24/01/2013 18:57:20

AEEMU.DLL : 8.1.3.2 393587 Bytes 18/12/2012 10:27:55

AECORE.DLL : 8.1.30.0 201079 Bytes 24/01/2013 18:57:15

AEBB.DLL : 8.1.1.4 53619 Bytes 18/12/2012 10:27:55

AVWINLL.DLL : 13.4.0.163 25888 Bytes 18/12/2012 13:34:34

AVPREF.DLL : 13.4.0.360 50464 Bytes 18/12/2012 13:34:32

AVREP.DLL : 13.4.0.360 177952 Bytes 18/12/2012 13:34:33

AVARKT.DLL : 13.6.0.402 260384 Bytes 18/12/2012 13:34:30

AVEVTLOG.DLL : 13.6.0.400 167200 Bytes 18/12/2012 13:34:32

SQLITE3.DLL : 3.7.0.1 397088 Bytes 18/12/2012 13:34:45

AVSMTP.DLL : 13.4.0.163 62752 Bytes 18/12/2012 13:34:33

NETNT.DLL : 13.4.0.360 15648 Bytes 18/12/2012 13:34:41

RCIMAGE.DLL : 13.4.0.141 4782880 Bytes 18/12/2012 10:28:38

RCTEXT.DLL : 13.4.0.360 70432 Bytes 18/12/2012 13:34:47

 

Configuration pour la recherche actuelle :

Nom de la tâche...............................: Contrôle intégral du système

Fichier de configuration......................: C:\program files (x86)\avira\antivir desktop\sysscan.avp

Documentation.................................: par défaut

Action principale.............................: interactif

Action secondaire.............................: ignorer

Recherche sur les secteurs d'amorçage maître..: marche

Recherche sur les secteurs d'amorçage.........: marche

Secteurs d'amorçage...........................: C:,

Recherche dans les programmes actifs..........: marche

Programmes en cours étendus...................: marche

Recherche du registre.........................: marche

Recherche de Rootkits.........................: marche

Contrôle d'intégrité de fichiers système......: arrêt

Recherche sur tous les fichiers...............: Tous les fichiers

Recherche sur les archives....................: marche

Limiter la profondeur de récursivité..........: 20

Archive Smart Extensions......................: marche

Heuristique de macrovirus.....................: marche

Heuristique fichier...........................: avancé

 

Début de la recherche : jeudi 24 janvier 2013 19:58

 

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

 

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

 

La recherche d'objets cachés commence.

 

La recherche sur les processus démarrés commence :

Recherche en cours du processus 'svchost.exe' - '52' module(s) ont été recherchés

Recherche en cours du processus 'svchost.exe' - '34' module(s) ont été recherchés

Recherche en cours du processus 'atiesrxx.exe' - '26' module(s) ont été recherchés

Recherche en cours du processus 'svchost.exe' - '92' module(s) ont été recherchés

Recherche en cours du processus 'svchost.exe' - '119' module(s) ont été recherchés

Recherche en cours du processus 'svchost.exe' - '166' module(s) ont été recherchés

Recherche en cours du processus 'svchost.exe' - '79' module(s) ont été recherchés

Recherche en cours du processus 'svchost.exe' - '83' module(s) ont été recherchés

Recherche en cours du processus 'atieclxx.exe' - '38' module(s) ont été recherchés

Recherche en cours du processus 'spoolsv.exe' - '81' module(s) ont été recherchés

Recherche en cours du processus 'sched.exe' - '47' module(s) ont été recherchés

Recherche en cours du processus 'svchost.exe' - '66' module(s) ont été recherchés

Recherche en cours du processus 'taskhost.exe' - '39' module(s) ont été recherchés

Recherche en cours du processus 'Dwm.exe' - '33' module(s) ont été recherchés

Recherche en cours du processus 'Explorer.EXE' - '161' module(s) ont été recherchés

Recherche en cours du processus 'armsvc.exe' - '28' module(s) ont été recherchés

Recherche en cours du processus 'avguard.exe' - '77' module(s) ont été recherchés

Recherche en cours du processus 'svchost.exe' - '43' module(s) ont été recherchés

Recherche en cours du processus 'HeciServer.exe' - '27' module(s) ont été recherchés

Recherche en cours du processus 'svchost.exe' - '21' module(s) ont été recherchés

Recherche en cours du processus 'svchost.exe' - '21' module(s) ont été recherchés

Recherche en cours du processus 'svchost.exe' - '37' module(s) ont été recherchés

Recherche en cours du processus 'svchost.exe' - '32' module(s) ont été recherchés

Recherche en cours du processus 'TeamViewer_Service.exe' - '88' module(s) ont été recherchés

Recherche en cours du processus 'TomTomHOMEService.exe' - '16' module(s) ont été recherchés

Recherche en cours du processus 'PMB.exe' - '76' module(s) ont été recherchés

Recherche en cours du processus 'hpwuschd2.exe' - '24' module(s) ont été recherchés

Recherche en cours du processus 'jusched.exe' - '71' module(s) ont été recherchés

Recherche en cours du processus 'avgnt.exe' - '88' module(s) ont été recherchés

Recherche en cours du processus 'MOM.exe' - '68' module(s) ont été recherchés

Recherche en cours du processus 'avshadow.exe' - '29' module(s) ont été recherchés

Recherche en cours du processus 'svchost.exe' - '42' module(s) ont été recherchés

Recherche en cours du processus 'SearchIndexer.exe' - '49' module(s) ont été recherchés

Recherche en cours du processus 'CCC.exe' - '217' module(s) ont été recherchés

Recherche en cours du processus 'wmpnetwk.exe' - '112' module(s) ont été recherchés

Recherche en cours du processus 'svchost.exe' - '62' module(s) ont été recherchés

Recherche en cours du processus 'svchost.exe' - '60' module(s) ont été recherchés

Recherche en cours du processus 'LMS.exe' - '33' module(s) ont été recherchés

Recherche en cours du processus 'UNS.exe' - '71' module(s) ont été recherchés

Recherche en cours du processus 'avscan.exe' - '122' module(s) ont été recherchés

Recherche en cours du processus 'vssvc.exe' - '47' module(s) ont été recherchés

Recherche en cours du processus 'svchost.exe' - '28' module(s) ont été recherchés

Recherche en cours du processus 'chrome.exe' - '110' module(s) ont été recherchés

Recherche en cours du processus 'chrome.exe' - '68' module(s) ont été recherchés

Recherche en cours du processus 'chrome.exe' - '43' module(s) ont été recherchés

Recherche en cours du processus 'chrome.exe' - '43' module(s) ont été recherchés

Recherche en cours du processus 'SearchProtocolHost.exe' - '29' module(s) ont été recherchés

Recherche en cours du processus 'SearchFilterHost.exe' - '27' module(s) ont été recherchés

Recherche en cours du processus 'taskhost.exe' - '47' module(s) ont été recherchés

Recherche en cours du processus 'smss.exe' - '2' module(s) ont été recherchés

Recherche en cours du processus 'csrss.exe' - '16' module(s) ont été recherchés

Recherche en cours du processus 'wininit.exe' - '26' module(s) ont été recherchés

Recherche en cours du processus 'csrss.exe' - '18' module(s) ont été recherchés

Recherche en cours du processus 'services.exe' - '33' module(s) ont été recherchés

Recherche en cours du processus 'lsass.exe' - '65' module(s) ont été recherchés

Recherche en cours du processus 'winlogon.exe' - '31' module(s) ont été recherchés

Recherche en cours du processus 'lsm.exe' - '16' module(s) ont été recherchés

 

La recherche sur les renvois aux fichiers exécutables (registre) commence :

Le registre a été contrôlé ( '1596' fichiers).

 

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\'

C:\Qoobox\Quarantine\C\Windows\assembly\GAC_32\Desktop.ini.vir

[RESULTAT] Contient le cheval de Troie TR/ATRAPS.Gen2

C:\Qoobox\Quarantine\C\Windows\assembly\GAC_64\Desktop.ini.vir

[RESULTAT] Contient le cheval de Troie TR/ATRAPS.Gen2

C:\Qoobox\Quarantine\C\Windows\System32\Services.exe.vir

[RESULTAT] Contient le code du virus Windows W32/Patched.UC

C:\Users\Ayfe\Desktop\RK_Quarantine\[email protected]

[RESULTAT] Contient le cheval de Troie TR/ZAccess.H

C:\Users\Ayfe\Desktop\RK_Quarantine\[email protected]

[RESULTAT] Contient le cheval de Troie TR/Cutwail.jhg

C:\Users\Ayfe\Desktop\RK_Quarantine\[email protected]

[RESULTAT] Contient le cheval de Troie TR/Sirefef.abx

C:\Users\Ayfe\Desktop\RK_Quarantine\[email protected]

[RESULTAT] Contient le cheval de Troie TR/ATRAPS.Gen

C:\Users\Ayfe\Desktop\RK_Quarantine\[email protected]

[RESULTAT] Contient le cheval de Troie TR/ATRAPS.Gen2

C:\Users\Ayfe\Desktop\RK_Quarantine\[email protected]

[RESULTAT] Contient le cheval de Troie TR/ATRAPS.Gen2

 

Début de la désinfection :

C:\Users\Ayfe\Desktop\RK_Quarantine\[email protected]

[RESULTAT] Contient le cheval de Troie TR/ATRAPS.Gen2

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '58343c31.qua' !

C:\Users\Ayfe\Desktop\RK_Quarantine\[email protected]

[RESULTAT] Contient le cheval de Troie TR/ATRAPS.Gen2

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '40a31396.qua' !

C:\Users\Ayfe\Desktop\RK_Quarantine\[email protected]

[RESULTAT] Contient le cheval de Troie TR/ATRAPS.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '12fc497f.qua' !

C:\Users\Ayfe\Desktop\RK_Quarantine\[email protected]

[RESULTAT] Contient le cheval de Troie TR/Sirefef.abx

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '74cb06bd.qua' !

C:\Users\Ayfe\Desktop\RK_Quarantine\[email protected]

[RESULTAT] Contient le cheval de Troie TR/Cutwail.jhg

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '314f2b83.qua' !

C:\Users\Ayfe\Desktop\RK_Quarantine\[email protected]

[RESULTAT] Contient le cheval de Troie TR/ZAccess.H

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4e5419e2.qua' !

C:\Qoobox\Quarantine\C\Windows\System32\Services.exe.vir

[RESULTAT] Contient le code du virus Windows W32/Patched.UC

[REMARQUE] Le fichier a été réparé.

C:\Qoobox\Quarantine\C\Windows\assembly\GAC_64\Desktop.ini.vir

[RESULTAT] Contient le cheval de Troie TR/ATRAPS.Gen2

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '02a93663.qua' !

C:\Qoobox\Quarantine\C\Windows\assembly\GAC_32\Desktop.ini.vir

[RESULTAT] Contient le cheval de Troie TR/ATRAPS.Gen2

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '7eb17633.qua' !

 

 

Fin de la recherche : jeudi 24 janvier 2013 20:55

Temps nécessaire: 55:18 Minute(s)

 

La recherche a été effectuée intégralement

 

29441 Les répertoires ont été contrôlés

565543 Des fichiers ont été contrôlés

9 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

1 Des virus ou programmes indésirables ont été réparés

8 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

0 Impossible de scanner des fichiers

565534 Fichiers non infectés

3725 Les archives ont été contrôlées

0 Avertissements

9 Consignes

670621 Des objets ont été contrôlés lors du Rootkitscan

0 Des objets cachés ont été trouvés

 

 

 

Je suppose que mon PC est guéri ?

 

Si tel est le cas y a t il certaines manipulation a faire de plus pour retiré les logiciels installé lors du diagnostique? Ou faut il tout simplement les désinstaller?

 

Merci énormément déjà pour le travail fourni !

[pear]

Vous me rassurez!

 

Ce logiciel peut désinstaller les outils utilisés pour la désinfection:

 

Télécharger DelFix de Xplode

 

Lancez-le.

 

Cochez [suppression des outils]

et Cliquez [Exécuter]

 

Un rapport va s'ouvrir à la fin, à coller dans la réponse

[Ayfe]

Je l'ai lancé 2 fois, l'icone disparaît mais pas ceux de roguekiller et combofix et je n'ai pas de rapport.

 

 

edit :

 

Autant pour moi je n'avais pas vus pour le rapport qu'il fallait simplement cliqué droit et collé dans un fichier texte.

 

# DelFix v10.0 - Rapport créé le 24/01/2013 à 21:31:00

# Mis à jour le 04/01/2013 par Xplode

# Nom d'utilisateur : Ayfe - AYFE-PC

 

~ Suppression des outils de désinfection ...

 

 

########## - EOF - ##########

Modifié le 24 janvier 2013 par Ayfe

[Ayfe]

Après redémarrage du système les icônes on disparu.

 

Merci beaucoup pour ton aide précieuse et ta patience.

 

Je met un petit résolu dans le titre