Trojan impossible à éradiquer

Logiciel & apps Logiciel Général
1

Bonsoir,

Je ne parviens pas à me débarrasser de virus sur mon Dell Inspiron sous Vista, j’utilise Avira et le parefeu windows (peut-être mon grand péché ?) et j’ai des alertes avec notamment TR/ATRAPS.GEN2 dès lors que je me mets sur internet. Pour l’instant je ne note aucun soucis avec le PC mais j’aimerais bien me débarrasser de tout ça !

Malware byte m’a retiré un problème et Avira 9 fichiers infectés, cependant, il y en a un qu’il ne pouvait pas mettre en quarantaine. Voici le rapport Avira :

Avira AntiVir Personal
Date de création du fichier de rapport : dimanche 6 mai 2012 17:23

La recherche porte sur 3750515 souches de virus.

Le programme fonctionne en version intégrale illimitée.
Les services en ligne sont disponibles.

Détenteur de la licence : Avira AntiVir Personal - Free Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows Vista
Version de Windows : (Service Pack 2) [6.0.6002]
Mode Boot : Démarré normalement
Identifiant : Dom
Nom de l’ordinateur : DELIRIUM-CORDIA

Informations de version :
BUILD.DAT : 10.2.0.155 36070 Bytes 25/01/2012 13:28:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 10/09/2011 23:58:59
AVSCAN.DLL : 10.0.5.0 56680 Bytes 10/09/2011 23:58:59
LUKE.DLL : 10.3.0.5 45416 Bytes 10/09/2011 23:58:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 17/08/2010 12:39:11
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 10/09/2011 23:58:59
AVREG.DLL : 10.3.0.9 88833 Bytes 10/09/2011 23:58:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 09:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 18:48:37
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20/12/2011 01:29:10
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01/02/2012 22:05:08
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28/03/2012 21:08:32
VBASE005.VDF : 7.11.26.45 2048 Bytes 28/03/2012 21:08:32
VBASE006.VDF : 7.11.26.46 2048 Bytes 28/03/2012 21:08:33
VBASE007.VDF : 7.11.26.47 2048 Bytes 28/03/2012 21:08:33
VBASE008.VDF : 7.11.26.48 2048 Bytes 28/03/2012 21:08:33
VBASE009.VDF : 7.11.26.49 2048 Bytes 28/03/2012 21:08:33
VBASE010.VDF : 7.11.26.50 2048 Bytes 28/03/2012 21:08:33
VBASE011.VDF : 7.11.26.51 2048 Bytes 28/03/2012 21:08:33
VBASE012.VDF : 7.11.26.52 2048 Bytes 28/03/2012 21:08:33
VBASE013.VDF : 7.11.26.53 2048 Bytes 28/03/2012 21:08:33
VBASE014.VDF : 7.11.26.107 221696 Bytes 30/03/2012 21:08:36
VBASE015.VDF : 7.11.26.179 224768 Bytes 02/04/2012 10:13:14
VBASE016.VDF : 7.11.26.241 142336 Bytes 04/04/2012 10:13:16
VBASE017.VDF : 7.11.27.41 247808 Bytes 08/04/2012 09:19:45
VBASE018.VDF : 7.11.27.107 161280 Bytes 12/04/2012 23:01:39
VBASE019.VDF : 7.11.27.159 148992 Bytes 13/04/2012 23:01:40
VBASE020.VDF : 7.11.27.201 207360 Bytes 17/04/2012 09:28:24
VBASE021.VDF : 7.11.28.3 237568 Bytes 19/04/2012 09:28:25
VBASE022.VDF : 7.11.28.49 193536 Bytes 20/04/2012 21:34:47
VBASE023.VDF : 7.11.28.99 195072 Bytes 23/04/2012 22:23:43
VBASE024.VDF : 7.11.28.133 247808 Bytes 24/04/2012 22:23:44
VBASE025.VDF : 7.11.28.183 186880 Bytes 26/04/2012 22:23:45
VBASE026.VDF : 7.11.28.235 166400 Bytes 30/04/2012 22:23:45
VBASE027.VDF : 7.11.29.37 290816 Bytes 03/05/2012 22:41:09
VBASE028.VDF : 7.11.29.38 2048 Bytes 03/05/2012 22:41:10
VBASE029.VDF : 7.11.29.39 2048 Bytes 03/05/2012 22:41:10
VBASE030.VDF : 7.11.29.40 2048 Bytes 03/05/2012 22:41:10
VBASE031.VDF : 7.11.29.70 124928 Bytes 04/05/2012 22:41:11
Version du moteur : 8.2.10.62
AEVDF.DLL : 8.1.2.2 106868 Bytes 25/10/2011 22:37:52
AESCRIPT.DLL : 8.1.4.18 455034 Bytes 01/05/2012 22:24:00
AESCN.DLL : 8.1.8.2 131444 Bytes 18/02/2012 22:05:36
AESBX.DLL : 8.2.5.5 606579 Bytes 17/03/2012 15:38:03
AERDL.DLL : 8.1.9.15 639348 Bytes 10/09/2011 23:58:59
AEPACK.DLL : 8.2.16.12 807287 Bytes 04/05/2012 22:41:23
AEOFFICE.DLL : 8.1.2.28 201082 Bytes 01/05/2012 22:23:59
AEHEUR.DLL : 8.1.4.23 4702582 Bytes 04/05/2012 22:41:19
AEHELP.DLL : 8.1.20.0 254326 Bytes 01/05/2012 22:23:47
AEGEN.DLL : 8.1.5.28 422260 Bytes 01/05/2012 22:23:47
AEEXP.DLL : 8.1.0.35 82291 Bytes 04/05/2012 22:41:23
AEEMU.DLL : 8.1.3.0 393589 Bytes 05/01/2011 18:48:51
AECORE.DLL : 8.1.25.6 201078 Bytes 17/03/2012 15:36:07
AEBB.DLL : 8.1.1.0 53618 Bytes 17/08/2010 12:38:45
AVWINLL.DLL : 10.0.0.0 19304 Bytes 17/08/2010 12:38:56
AVPREF.DLL : 10.0.3.2 44904 Bytes 10/09/2011 23:58:59
AVREP.DLL : 10.0.0.10 174120 Bytes 19/05/2011 18:31:11
AVARKT.DLL : 10.0.26.1 255336 Bytes 10/09/2011 23:58:59
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 10/09/2011 23:58:59
SQLITE3.DLL : 3.6.19.0 355688 Bytes 17/06/2010 14:28:02
AVSMTP.DLL : 10.0.0.17 63848 Bytes 17/08/2010 12:38:56
NETNT.DLL : 10.0.0.0 11624 Bytes 17/06/2010 14:28:01
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 10/09/2011 23:58:58
RCTEXT.DLL : 10.0.64.0 100712 Bytes 10/09/2011 23:58:58

Configuration pour la recherche actuelle :
Nom de la tâche…: Disques durs locaux
Fichier de configuration…: C:\program files\avira\antivir desktop\alldiscs.avp
Documentation…: par défaut
Action principale…: interactif
Action secondaire…: ignorer
Recherche sur les secteurs d’amorçage maître…: marche
Recherche sur les secteurs d’amorçage…: marche
Secteurs d’amorçage…: C:, D:,
Recherche dans les programmes actifs…: marche
Recherche en cours sur l’enregistrement…: marche
Recherche de Rootkits…: arrêt
Contrôle d’intégrité de fichiers système…: arrêt
Fichier mode de recherche…: Sélection de fichiers intelligente
Recherche sur les archives…: marche
Limiter la profondeur de récursivité…: 20
Archive Smart Extensions…: marche
Heuristique de macrovirus…: marche
Heuristique fichier…: avancé

Début de la recherche : dimanche 6 mai 2012 17:23

La recherche sur les processus démarrés commence :
Processus de recherche ‘avscan.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘avcenter.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘TrustedInstaller.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘wuauclt.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘wmiprvse.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘svchost.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘HidFind.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘Apntex.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘ApMsgFwd.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘ehmsas.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘igfxsrvc.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘AnyDVD.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘MagicDisc.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘ehtray.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘GoogleToolbarNotifier.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘avgnt.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘sttray.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘jusched.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘reader_sl.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘winampa.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘WLTRAY.EXE’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘IAAnotif.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘igfxpers.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘hkcmd.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘igfxtray.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘OEM02Mon.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘Apoint.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘DellDock.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘taskeng.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘Explorer.EXE’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘Dwm.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘taskeng.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘avshadow.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘WLIDSvcM.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘xaudio.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘SearchIndexer.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘WLIDSVC.EXE’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘svchost.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘svchost.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘STacSV.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘Iaantmon.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘svchost.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘mDNSResponder.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘avguard.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘aestsrv.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘sched.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘spoolsv.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘aawservice.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘bcmwltry.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘WLANExt.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘WLTRYSVC.EXE’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘svchost.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘DockLogin.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘svchost.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘SLsvc.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘svchost.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘svchost.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘svchost.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘svchost.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘svchost.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘lsm.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘lsass.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘winlogon.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘services.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘csrss.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘wininit.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘csrss.exe’ - ‘1’ module(s) sont contrôlés
Processus de recherche ‘smss.exe’ - ‘1’ module(s) sont contrôlés

La recherche sur les secteurs d’amorçage maître commence :
Secteur d’amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d’amorçage commence :
Secteur d’amorçage ‘C:’
[INFO] Aucun virus trouvé !
Secteur d’amorçage ‘D:’
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( ‘1225’ fichiers).

La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans ‘C:’
C:\TDSSKiller_Quarantine\06.05.2012_12.48.10\tdlfs0000\tsk0004.dta
[RESULTAT] Contient le cheval de Troie TR/Spy.Gen
C:\TDSSKiller_Quarantine\06.05.2012_12.48.10\tdlfs0000\tsk0005.dta
[RESULTAT] Contient le cheval de Troie TR/TDss.6284
C:\TDSSKiller_Quarantine\06.05.2012_12.48.10\tdlfs0000\tsk0006.dta
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen2
C:\TDSSKiller_Quarantine\06.05.2012_12.48.10\tdlfs0000\tsk0007.dta
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen2
C:\TDSSKiller_Quarantine\06.05.2012_12.48.10\tdlfs0000\tsk0008.dta
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen2
C:\TDSSKiller_Quarantine\06.05.2012_12.48.10\tdlfs0000\tsk0009.dta
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen2
C:\TDSSKiller_Quarantine\06.05.2012_12.48.10\tdlfs0000\tsk0010.dta
[RESULTAT] Contient le cheval de Troie TR/ATRAPS.Gen2
C:\Windows\Installer{342c4ba1-f8d3-51f5-4893-ce2d8ca8e476}\n
[RESULTAT] Contient le cheval de Troie TR/Kazy.NI
C:\Windows\Installer{342c4ba1-f8d3-51f5-4893-ce2d8ca8e476}\U\80000000.@
[RESULTAT] Contient le cheval de Troie TR/Sirefef.AG.35
C:\Windows\Installer{342c4ba1-f8d3-51f5-4893-ce2d8ca8e476}\U\800000cb.@
[RESULTAT] Contient le cheval de Troie TR/ATRAPS.Gen2
Recherche débutant dans ‘D:’

Début de la désinfection :
C:\Windows\Installer{342c4ba1-f8d3-51f5-4893-ce2d8ca8e476}\U\800000cb.@
[RESULTAT] Contient le cheval de Troie TR/ATRAPS.Gen2
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom ‘49a10e03.qua’ !
C:\Windows\Installer{342c4ba1-f8d3-51f5-4893-ce2d8ca8e476}\U\80000000.@
[RESULTAT] Contient le cheval de Troie TR/Sirefef.AG.35
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom ‘513621a4.qua’ !
C:\Windows\Installer{342c4ba1-f8d3-51f5-4893-ce2d8ca8e476}\n
[RESULTAT] Contient le cheval de Troie TR/Kazy.NI
[AVERTISSEMENT] Impossible de déplacer le fichier dans le répertoire de quarantaine !
[AVERTISSEMENT] Impossible de supprimer le fichier !
[REMARQUE] Le fichier a été repéré pour une suppression après un redémarrage.
[REMARQUE] Un redémarrage de l’ordinateur est initié pour la réparation finale.
C:\TDSSKiller_Quarantine\06.05.2012_12.48.10\tdlfs0000\tsk0010.dta
[RESULTAT] Contient le cheval de Troie TR/ATRAPS.Gen2
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom ‘3f1d1a43.qua’ !
C:\TDSSKiller_Quarantine\06.05.2012_12.48.10\tdlfs0000\tsk0009.dta
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen2
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom ‘40062822.qua’ !
C:\TDSSKiller_Quarantine\06.05.2012_12.48.10\tdlfs0000\tsk0008.dta
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen2
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom ‘0cbe0468.qua’ !
C:\TDSSKiller_Quarantine\06.05.2012_12.48.10\tdlfs0000\tsk0007.dta
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen2
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom ‘70a64438.qua’ !
C:\TDSSKiller_Quarantine\06.05.2012_12.48.10\tdlfs0000\tsk0006.dta
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen2
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom ‘5dfc6b75.qua’ !
C:\TDSSKiller_Quarantine\06.05.2012_12.48.10\tdlfs0000\tsk0005.dta
[RESULTAT] Contient le cheval de Troie TR/TDss.6284
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom ‘449450ef.qua’ !
C:\TDSSKiller_Quarantine\06.05.2012_12.48.10\tdlfs0000\tsk0004.dta
[RESULTAT] Contient le cheval de Troie TR/Spy.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom ‘28c87cdf.qua’ !

Merci à ceux qui pourront m’aider dans ce combat viral !

2

il y a que cela d’inquietant :

le reste c’est de la quarantaine de TDSSKiller, un anti rootkit a priori , tu peux activer la fonction rootkits dans Avira pendant le scan car on voit : " Recherche de Rootkits…: arrêt" ?

avira a rien fait au redemarrage ?

tu peux peut etre faire aussi un scan en ligne avec www.bitdefender.fr…[/url] ou [url=http://www.eset.com/fr/home/products/online-scanner/]www.eset.com…

c’est quand tu lances internet explorer ou un navigateur specifique que le message d’alerte de l’antivirus arrive? si c’est le cas je pense qu’il faudrait changer de navigateur au moins le temps de resoudre completement ce probleme www.google.com… par exemple
Edité le 07/05/2012 à 12:50

3

Salut Feunoir.

Merci pour ta réponse.

J’ai lancé une recherche de rootkit avec Avira qui n’a rien trouvé.

Après le reboot Avira n’a rien indiqué de particulier lors de son nouveau scan.

L’alerte du virus apparaît quand je suis connecté à internet, même sans naviguer. Je n’utilise jamais internet explorer, juste Firefox et Chrome.

Maintenant j’ai un premier petit problème : les icones du bureau sont déplacées à chaque reboot du pc…

4

Les choses empirent : Avira plante systématiquement quelques minutes après le démarrage, indiquant une exception étrange. Je peux le relancer mais il plante toujours très rapidement…

5

essaye un petit nettoyage avec malwarebytes :wink:

6

J’ai fais tous les nettoyages possibles avec Malwarebytes, qui a éliminé des choses mais les problèmes subsistent.
Est-ce qu’un virus aurait pu neutraliser Avira ?

7

Après réinstallation Avira fonctionne à nouveau, mais j’ai toujours ce problème d’icone qui reviennent toujours se grouper à gauche sur le bureau.

8

tu as pas “reorganiser les icones” qui est coché dans bouton droit sur le bureau -> affichage

tu avais installé un truc pour customiser le bureau avant que tes ennuis de virus commencent (tu sais d’ou viens le virus)?
Edité le 09/05/2012 à 14:39