TR/ATRAPS.Gen2 & TR/Sirefef.AB.77 Réparation PC

[Ak-Style]

Bonsoir,

Je me permets de vous écrire pour vous faire part de l'infection dont je suis victime et qui concerne donc le cheval de Troie "TR/ATRAPS.Gen2" ainsi que le cheval de Troie "TR/Sirefef.AB.77". Depuis quelques jours, je constate des ralentissements mais aussi des soucis quant au démarrage de Google Chrome et Firefox qui ne s'effectue pas. J'ai également constaté l'impossibilité d'utiliser l'accent circonflexe sur des lettres, surtout que j'ai deux accents qui s'inscrivent dès lors que j'appuie sur la touche. C'est aussi depuis peu que j'ai réutilisé ma clé USB. Y a-t-il un lien ? Je ne sais pas. En revanche, ce que je sais c'est qu'un virus avait déjà  été détecté sur ma clé lorsque j'avais été faire des photocopies chez un professionnel, ce dernier s'étant chargé du virus via Kapersky.
J'en reviens plus précisément à  la situation qui m'amène. Comme j'ai pu le constater via différents forums, les personnes ayant rencontré le meme problème que moi étaient dans l'impossibilité de supprimer les éléments néfastes présents sur leur ordinateur. Je me suis référé à  ce topic-ci https://www.commentcamarche.net/forum/af ... -par-virus dès que j'ai souhaité éclaircir ma situation et diagnostiquer la source de mon souci.
Je n'ai rien entrepris de faire mis à  part des scans de mon système. En voici les rapports :
Rapport Avira Free Antivirus
Rapport UsbFix
Rapport ZHPDiag
Rapport AdwCleaner

Voilà . J'espère avoir fourni les informations nécessaires pour entamer avec vous une "procédure d'assainissement" de mon ordinateur et tiens à  vous remercier par avance d'avoir pris le temps de consulter ma requete.


Cordialement,
Ak-Style.

[El Desaparecido]

Bonjour Ak-Style,

:welcome:

Ton infection est visible ici : 287.O4 - HKCU\..\Run: [Maxyfa] . (.Quick Heal Technologies Pvt. Ltd. - Meclofenamate catlin's preauthorizing sauch.) -- C:\Users\Ak-Style\AppData\Roaming\Kouk\usve.exe

Ell a des fonction de keylogger, d'o๠le soucis avec l'accent circonflexe .

Relance Adwcleaner, choisi suppression est post le rapport stp.

[Ak-Style]

Bonsoir El Desaparecido,

Tout d'abord, je tiens à  te remercier d'avoir répondu aussi expressément à  ma requete (désolé pour la faute, l'accent circonflexe est toujours absent au-dessus des lettres ) ainsi que de m'avoir souhaité la bienvenue, c'est très aimable à  toi Merci également de m'avoir présenté clairement quel est l'"intitulé" précis de l'infection qui sévit sur mon ordinateur.
Ensuite, voici le rapport que tu m'as demandé : Rapport AdwCleaner Suppression

[El Desaparecido]

Re,

Mais de rien Ak-Style

Désinstalle ta version de UsbFix et supprime UsbFix.exe situé sur ton bureau.

Refais un scan avec la nouvelle version comme suit :

• Téléchargez UsbFix sur votre Bureau.
• Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.
• Branchez toutes vos sources de données externes à  votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.

• Double cliquez sur UsbFix.exe.
• Cliquez sur Supression

• Laissez travailler l'outil.
• à€ la fin du scan, un rapport va s'afficher, postez-le dans votre prochaine réponse sur le forum.
• Le rapport est aussi sauvegardé à  la racine du disque système ( C:\UsbFix.txt ).
• Tutoriel en images

[Ak-Style]

Voilà  voilà . J'ai donc désinstallé ma version de UsbFix pour installer celle que vous m'avez transmise. Après avoir activé la suppression via le logiciel, comme vous me l'avez demandé, j'ai obtenu ce rapport : Rapport UsbFix Suppression.
J'ai été voir le tutoriel concernant UsbFix dont vous m'avez mis le lien en fin de post mais, contrairement à  ce qui y est indiqué, je n'ai pas eu de message de la part de UsbFix me proposant d'uploader sa zone de quarantaine et n'ai pas non plus trouvé d'archive sur mon Disque Local (C:). Est-ce une bonne nouvelle si UsbFix n'a pas de zone de quarantaine ? Normalement oui il me semble, non ?

Merci encore de votre aide.


PS : Est-ce un souci si je n'ai pas branché mon mobile lors de la suppression ? Dois-je recommencer ? (ce qui ne serait pas un souci )

[Ak-Style]

Je m'excuse de poster à  nouveau mais j'ai un nouveau rapport à  soumettre du fait que j'ai malgré tout préféré recommencer l'opération après avoir connecté mon mobile à  mon ordinateur (en plus de ma clé USB et de mon DDE qui y sont déjà  connectés, et ce depuis le début).
Rapport UsbFix Suppression (avec mobile branché)

[El Desaparecido]

Re,

pas eu de message de la part de UsbFix me proposant d'uploader sa zone de quarantaine et n'ai pas non plus trouvé d'archive sur mon Disque Local (C:). Est-ce une bonne nouvelle si UsbFix n'a pas de zone de quarantaine ? Normalement oui il me semble, non ?

Il faut que je mette à  jours le tutoriel car maintenant UsbFix envoi directement la zone de quarantaine sur mon serveur. Cela me permet de mieux suivre les infections.

Pour le téléphone non c'est pas grave dans ton cas.

Redémarre le pc.

Désinstalle ta version de Java et installe la nouvelle version : https://www.java.com/fr/download/

On va utiliser RogueKiller pour cela suis cette procédure : https://www.security-helpzone.com/Thread ... uppression

Une fois cela fait post le rapport Roguekiller , refais un scan ZHPDiag et post le nouveau rapport préalablement hébergé sur Up2share stp .

Si cela te convient on terminera demain car je dois me lever tôt.

[Ak-Style]

Que tu m'apportes ton aide justifie amplement le fait que terminer tout cela demain me convienne. Cela serait vraiment capricieux et déplacé de ma part de ne pas respecter le fait que tu aies une vie en dehors de mes problèmes de virus. Donc oui, je te le confirme, terminer demain me convient sans aucun souci
J'éditerai ce post après avoir réalisé ce que tu m'as demandé et on s'occupera du reste demain, si tu le peux. Dans le cas contraire, n'hésite pas à  me le faire savoir, cela ne sera pas un problème du tout.

Encore merci de ton aide et bonne nuit à  toi.


[Edit] Comme prévu, j'édite mon post pour te transmettre les nouvelles. Premièrement, je tiens à  préciser que j'ai eu du mal à  supprimer Java, dans le sens oà¹, dans ma liste de programmes et fonctionnalités, il y avait "Java 7 Update 9" et "Java 7 Update 13 (64-bit)". Même en les désinstallant, ils restaient dans la liste. Résultat, je me suis servi de Revo Uninstaller pour supprimer "Java Update 9" (le seul trouvable dans la liste de programmes établie par Revo) et cela a fonctionné, il a disparu de ma liste de programmes et fonctionnalités. En revanche, "Java 7 Update 13 (64-bit)" y est toujours mais cela ne m'a pas empêché d'installer la dernière version de Java en suivant ton lien. Cette fois, cela m'a bien marqué que Java a été installé (pas comme précédemment quand j'ai essayé sans avoir supprimé "Java 7 Update 9" avec Revo). Bref, normalement tout est bon
Je poursuis donc en t'affichant les rapports de scan et de suppression de RogueKiller, ainsi que le rapport de scan de ZHPDiag :
Rapport de scan RogueKiller
Rapport de suppression RogueKiller
Rapport de scan ZHPDiag

[El Desaparecido]

Bonjour Ak-Style,

Comment va le pc ?

Suis cette procédure dans l'ordre indiqué :

Ce script va cibler certains éléments à  supprimer :

• Sélectionne et copie (clic droit "copier" ou ctrl+c) les lignes CI après :

Code : Tout sélectionner

O42 - Logiciel: swMSM - (.Adobe Systems, Inc.) [HKLM][64Bits] -- {612C34C7-5E90-47D8-9B5C-0F717DD82726}
O42 - Logiciel: Java 7 Update 13 (64-bit) - (.Oracle.) [HKLM][64Bits] -- {26A24AE4-039D-4CA4-87B4-2F86417013FF}
O43 - CFD: 20/11/2012 - 18:26:27 - [39,643] ----D C:\ProgramData\{9BF4D58B-C6D6-467B-BC5A-FD0C1278F4AF}
O43 - CFD: 18/02/2013 - 23:39:49 - [0,263] ----D C:\Users\Ak-Style\AppData\Roaming\Qenoyb
O43 - CFD: 18/02/2013 - 23:39:49 - [0] ----D C:\Users\Ak-Style\AppData\Roaming\Nyqeyq
O43 - CFD: 17/02/2013 - 23:37:50 - [0] ----D C:\Users\Ak-Style\AppData\Roaming\Udwy
O43 - CFD: 19/02/2013 - 00:09:31 - [0] ----D C:\Users\Ak-Style\AppData\Roaming\Udxu
O43 - CFD: 20/02/2013 - 20:55:04 - [0] ----D C:\Users\Ak-Style\AppData\Roaming\Uxuvlo
O43 - CFD: 20/02/2013 - 21:38:15 - [0] ----D C:\Users\Ak-Style\AppData\Roaming\Ihguo
O43 - CFD: 17/02/2013 - 23:37:50 - [0,268] ----D C:\Users\Ak-Style\AppData\Roaming\Ihyhyl
O43 - CFD: 19/02/2013 - 16:04:32 - [0] ----D C:\Users\Ak-Style\AppData\Roaming\Ikdu
O43 - CFD: 20/02/2013 - 18:22:38 - [0] ----D C:\Users\Ak-Style\AppData\Roaming\Ibadw
O43 - CFD: 20/02/2013 - 20:52:54 - [0] ----D C:\Users\Ak-Style\AppData\Roaming\Gunooh
O43 - CFD: 19/02/2013 - 00:44:48 - [0,263] ----D C:\Users\Ak-Style\AppData\Roaming\Guuqm
O43 - CFD: 19/02/2013 - 00:44:48 - [0] ----D C:\Users\Ak-Style\AppData\Roaming\Fuqyo
O43 - CFD: 19/02/2013 - 16:04:32 - [0] ----D C:\Users\Ak-Style\AppData\Roaming\Ewceku
O43 - CFD: 20/02/2013 - 18:22:38 - [0] ----D C:\Users\Ak-Style\AppData\Roaming\Ezux
O43 - CFD: 19/02/2013 - 20:23:54 - [0] ----D C:\Users\Ak-Style\AppData\Roaming\Feyt
O53 - SMSR:HKLM\...\startupreg\SweetIM  [Key] . (...) -- C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe (.not file.)
O64 - Services: CurCS - ??\??\???? -  (X6va008)  .(. - .) - LEGACY_X6VA008
O64 - Services: CurCS - ??\??\???? -  (X6va009)  .(. - .) - LEGACY_X6VA009
O64 - Services: CurCS - ??\??\???? -  (X6va011)  .(. - .) - LEGACY_X6VA011
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{CDB982ED-F9D6-4E3B-B94B-96F705D35AD1}]   =>Adware.SocialSkinz
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\D15DAF33C220F91468A1D7D57C31ACD7]   =>PUP.SweetIM
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\D6D0EB9FDBD90C04D92A7E729058F10D]   =>PUP.SweetIM
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A189D17A469616C4688D23E192996267]   =>PUP.SweetIM
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\98CC8BF5A4A6E6C4ABF7051DDAB8B058]   =>PUP.SweetIM
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\7FFA128C2B0FF414D805FC5627883401]   =>PUP.SweetIM
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\D3BA76A44C779424889063D5098ED2D6]   =>PUP.SweetIM
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\397C771A7BCAC904697C3EC629ED33ED]   =>PUP.SweetIM
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\351716A953E21214898904032EAE2E81]   =>PUP.SweetIM
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\2E6768B6932D112438F047C54D180635]   =>PUP.SweetIM
[HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASMANCS]   =>Toolbar.Agent
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\EB6AF8AEEB922FA4392548F13812E50B]   =>PUP.SweetIM
[HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\SweetIM]   =>PUP.SweetIM
[HKLM\Software\Wow6432Node\Microsoft\Tracing\offerbox_RASAPI32]   =>PUP.OfferBox
[HKLM\Software\Wow6432Node\Microsoft\Tracing\offerbox_RASMANCS]   =>PUP.OfferBox
[HKLM\Software\Wow6432Node\Microsoft\Tracing\OfferBoxHTTPProxy_RASAPI32]   =>PUP.OfferBox
[HKLM\Software\Wow6432Node\Microsoft\Tracing\OfferBoxHTTPProxy_RASMANCS]   =>PUP.OfferBox
[HKLM\Software\Wow6432Node\Microsoft\Tracing\OfferBoxUpdateService_RASAPI32]   =>PUP.OfferBox
[HKLM\Software\Wow6432Node\Microsoft\Tracing\OfferBoxUpdateService_RASMANCS]   =>PUP.OfferBox
[HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASAPI32]   =>Toolbar.Agent
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\9EE58E3C298524145B73CBBED3CAC4D3]   =>PUP.SweetIM
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\29799DE249E7DBC459FC6C8F07EB8375]   =>Toolbar.Agent
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0238BBE24EA3A70408B81E4BB89C15E5]   =>Toolbar.Agent
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\02F47BF73B948514FAACADD8CBBDF37D]   =>PUP.SweetIM
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\080D9F5E1E95FEE4794CE438E635239E]   =>PUP.SweetIM
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\A97CEC23332751B47BA4B95BAA50C9D0]   =>PUP.SweetIM
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\1E264E0A5959A1C46BA9175A878B12EA]   =>PUP.SweetIM
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E4748F9A4181FCE46A23C13B517B9420]   =>PUP.SweetIM
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\12BF94BD06C95F343A77631402B9556A]   =>PUP.SweetIM^
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\2124D8A8CF720FD44866190AF560228E]   =>PUP.SweetIM^
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\27A325ACED8CA4743A30127638591ADB]   =>PUP.SweetIM^
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\350D17402BD84234EAF7D32F08172D7C]   =>PUP.SweetIM^
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\3EE8C5F419057E1478A654868CEE60B5]   =>PUP.SweetIM^
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\4735D908D66E1BA46B6C2D7185A12B2B]   =>PUP.SweetIM^
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\69D6A6B2ED56AF24EA6335EAD6E91CA4]   =>PUP.SweetIM^
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\76D8378E2DDAED3428720A631F6E3BF0]   =>PUP.SweetIM^
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\86EDC790504E1834DBC20C9A04328FD2]   =>PUP.SweetIM^
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\97C3D0F82E712E241A2F969F45E3351C]   =>PUP.SweetIM^
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\9A001B259DB7D694E818BE29B973992C]   =>PUP.SweetIM^
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\9E7F556BF224D804D96A96F0F6344789]   =>PUP.SweetIM^
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\BAE2EC163C6A68A48921573E0E7E199D]   =>PUP.SweetIM^
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\BF4F885EDEE45644EB1E0C99E0162399]   =>PUP.SweetIM^
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\C06C6662FA5B04646829E4A460857770]   =>PUP.SweetIM^
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\CE21F3FD57B244142880EF15A165A156]   =>PUP.SweetIM^
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\CEEB3E14ABE8270419B0FD762E18F7C6]   =>PUP.SweetIM^
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\ED1B5E9A3BDB51349BF96E842C062D98]   =>PUP.SweetIM^
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\FECBC2BC14DA6CD459BD59A041709836]   =>PUP.SweetIM^
[HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks]:{8E5025C2-8EA3-430D-80B8-A14151068A6D}   =>Toolbar.Agent
C:\Users\Ak-Style\Downloads\cacaoweb.exe   =>PUP.CacaoWeb

• Lance ZHPFix à  partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en tant qu'administrateur)
• Clique sur l'icone représentant le presse-papier ("coller le presse-papier")



Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le (Ctrl+v)

• Clique sur le bouton GO pour lancer le nettoyage
• Copie/colle la totalité du rapport dans ta prochaine réponse.

Redémarre le pc ensuite

Une fois cela effectué, lance Malwarebyte's met le à  jours et lance un scan rapide ( clic sur supprimer la sélection si des éléments ont été trouvé) , post son rapport en fin de scan .

[Ak-Style]

Bonjour El Desaparecido,

Comment vas-tu ? Bien j'espère Me concernant, pour te répondre, le pc va bien et je t'en remercie beaucoup Je n'ai reçu aucune alerte de la part d'Avira ou bien de Malwarebytes. Bon, comme tu t'en doutes, une bonne nouvelle n'arrive jamais seule (et pour le coup, elle est accompagnée d'une "mauvaise"). En fait, j'ai procédé comme tu me l'as demandé mais j'ai eu un léger souci après avoir utilisé ZHPFix. Une fois l'opération terminée, avant de voir le rapport, j'ai eu "InstallShield Wizard sw..." (je m'excuse, je n'ai plus la fin du nom) qui me proposait donc une installation. J'ai refusé, ne désirant pas procéder à  une installation avant que ZHPFix ne termine son travail, et plus généralement avant que mon pc ne soit hors de tout souci. Résultat ? Mon antivirus m'alerte du virus suivant : Dans le fichier 'C:\Users\Ak-Style\AppData\Roaming\Ihyhyl\couzy.exe', un virus ou programme indésirable 'TR/VB.Agent.DO' a été trouvé. Je l'ai donc supprimé.
Après avoir eu le rapport de ZHPFix, j'ai lancé un scan rapide avec Malwarebytes comme tu m'en as donné la directive. Le scan n'a rien décelé.

Voici donc les rapports que tu m'avais demandés :
Rapport ZHPFix
Rapport Malwarebytes


PS : Je tiens à  m'excuser d'avoir répondu si tardivement


[Edit] Mon antivirus vient de trouver une autre anomalie : Dans le fichier 'C:\Users\Ak-Style\AppData\Local\Temp\...\kb3.exe', un virus ou programme indésirable 'TR/VB.Agent.DP' a été trouvé. Je l'ai également supprimée.