TR/ATRAPS.Gen2 Résolu/Fermé

Question

Bonjour à tous !

Comme beaucoup, je me suis fait avoir par le malware TR/ATRAPS.Gen2 =( Je suis bloqué, après avoir essayé de le sortir avec Avast et Avira sans succès. Avira me l'a trouvé dans le dossier C:/Windows/assembly/temp/U/80000032.@ et j'ai un peu les miquettes d'aller farfouiller là dedans de peur de faire des bêtises. Faut dire que je suis pas une flèche en info.
Pouvez vous m'aider ?


Configuration: Windows 7 / Firefox 12.0

Destrio5 · Accepted Answer

--> Télécharge TDSSKiller sur le Bureau :
https://support.kaspersky.com/downloads/utils/tdsskiller.exe

--> Lance TDSSKiller.
(Sous Vista/Win7, il faut cliquer droit sur TDSSKiller et choisir Exécuter en tant qu'administrateur)

--> Clique sur [Start Scan] pour démarrer l'analyse.

--> Si des éléments sont trouvés, clique sur [Continue] puis sur [Reboot Now].

--> Un rapport s'ouvrira au redémarrage du PC.

--> Copie-colle son contenu ici.

Note : le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt.

Note 2 : si TDSSKiller trouve un fichier nommé "Sptd.sys", tu sélectionnes Skip juste pour ce fichier.

thithi20121 · Answer

Regarde ici la procédure y est bien indiquée : https://forums.commentcamarche.net/forum/affich-24761113-tr-atraps-gen2-dans-avira

KMV17 · Answer

Bonjour ! Et merci thithi20121 pour la réponse. J'ai exécuté toute la procédure, les scans les nettoyages... J'ai fini par un scan complet de Avira que j'ai laissé mouliner toute la nuit.
Résultat : il est toujours là =/
Aurais-je loupé une étape ? Je recommence la procédure ?

KMV17 · Answer

J'ai re fait la procédure, sans succès. ATRAPS et toujours là, et Alureon.FP.2 a fait son apparition avec lui. 
Pouvez vous m'aider ?
D'avance, merci =)

Destrio5 · Answer

Bonjour,

As-tu utilisé ComboFix ?

KMV17 · Answer

Bonjour !

Yep ! Il me disait que Antivir Dekstop était toujours actif alors que j'avais même désinstallé Avira.

Destrio5 · Answer

Tu peux me donner le rapport ?

Il est à la racine de ton disque dur.

KMV17 · Answer

Le voici :

https://pjjoint.malekal.com/files.php?read=20120518_t13l11y6t10w6

Destrio5 · Answer

Avira détecte toujours l'infection au même endroit ?

KMV17 · Answer

Il m'a toujours détecté l'infection ici : C:\Windows\assembly	emp\U\80000032.@

Par contre, comme fichier source, il me dit C:\Windows\C:\Windows\Sysnative\SISNICXP.dll  à minuit 40 et  C:\Windows\Sysnative\ha20x2k.dll à minuit 50

KMV17 · Answer

Et ce matin, à l'allumage du PC, j'ai au le droit à la page blanche de Sacem me demandant 50€. Au redémarrage, Windows m'a proposé une restauration que j'ai faite. Le verrouillage a disparu. =/

Destrio5 · Answer

Ok.

Passe un coup de cet utilitaire et poste le rapport :
https://www.pandasecurity.com/en/support/card?id=1672&idIdioma=2

KMV17 · Answer

C'est fait. Voici le rapport: 
https://pjjoint.malekal.com/files.php?read=20120518_z9k75q813

Destrio5 · Answer

Utilise cet outil et dis-moi ce qu'il dit :
http://anywhere.webrootcloudav.com/antizeroaccess.exe

KMV17 · Answer

Bonjour !

Il me dit qu'il ne fonctionne qu'en 32 bits et que l'exécution a échoué =/

Destrio5 · Answer

Incompatible avec Windows 7 64 bits donc.

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

KMV17 · Answer

Scan effectué avec MalwareBytes, aucun fichier infécté trouvé. Ca m'étonne pas mal d'ailleurs

KMV17 · Answer

Mais les messages d'alerte d'Avira sont toujours là

KMV17 · Answer

Merci beaucoup de m'aider =)

TDSSKiller a trouvé un élément, voici le rapport :
https://pjjoint.malekal.com/files.php?read=20120520_k14z15j7h15u9

Destrio5 · Answer

Retélécharge ComboFix et repasse un coup.

KMV17 · Answer

ComboFix vient de terminer.
 Ca a été plus long que la fois précédente mais Avira ne me signale plus de message d'alerte. Je ne le vois plus non plus dans la barre des taches, mais il est toujours installé et il est actif dans le gestionnaire des taches.

J'envoie le rapport de ComboFix ? Je me met un ptit coup de scan Avira ?

Destrio5 · Answer

Oui.

Tu peux réinstaller Avira si besoin :
http://www.01net.com/operations/avira/

KMV17 · Answer

Avira est en train de scanner, je l'ai "réparé" avec l'installateur . Voilà le rapport de ComboFix :
https://pjjoint.malekal.com/files.php?read=20120520_c12d8z10c13m9

KMV17 · Answer

Tr/ATRAPS a été retrouvé =(
La rapport d'Avira :
https://pjjoint.malekal.com/files.php?read=20120520_d9d9c11k7b13

Destrio5 · Answer

Réessaie TDSSKiller et Malwarebytes' Anti-Malware pour voir.

KMV17 · Answer

Alors, TDSSKiller n'a rien trouvé, Trojan Remover et Malwarebytes non plus. Avira m'a encore envoyé un message d'alerte (mais un seul cette fois pas un toutes les 30 secondes) et l'a trouvé lors du scan.

Scan de Malwarebytes :
https://pjjoint.malekal.com/files.php?read=20120521_r8e13k6p1515

Scan d'Avira :
https://pjjoint.malekal.com/files.php?read=20120521_w11m13u138i14

Utilisateur anonyme · Answer

bonjour,
juste pour suivre le poste  :D


merci  ;-)

(coucou Destrio5)

Destrio5 · Answer

Fais un scan avec RogueKiller et poste le rapport :
https://www.commentcamarche.net/faq/30719-utiliser-roguekiller#utilisation-de-roguekiller

KMV17 · Answer

C'est fait !

https://pjjoint.malekal.com/files.php?read=20120521_7g13j15d12m11

Utilisateur anonyme · Answer

bonjour,
Destrio5 étant absent pour une raison personnelle, à sa demande, je prends la suite :D

relance Roguekiller, clique sur supprimer, poste son rapport  :D

KMV17 · Answer

Pas de souci ! Bonjour Electricien 69 ! =D

Voici le rapport de Rogue Killer après la sup' :

https://pjjoint.malekal.com/files.php?read=20120522_g13z9d5e11c10

KMV17 · Answer

Pour info, voici ce que donne un scan que j'ai fait en mode sans échec, avec Avira

https://pjjoint.malekal.com/files.php?read=20120522_h5y6q14n5o6

Utilisateur anonyme · Answer

avira n'est pas configuré comme il le faut :

Recherche de Rootkits.........................: arrêt



mais avant tout, on a un bot dans le MBR !


relance Tdsskiller pour voir ce qu'il trouve !


laisse les actions proposées par défaut  :D

KMV17 · Answer

Ok je laisse avira de coté pour le moment. "No threats foundé pour TDSSKiller =/

Utilisateur anonyme · Answer

est ce que tu peux me poster son rapport s'il te plait ?

KMV17 · Answer

Yep ! Le voici :

https://pjjoint.malekal.com/files.php?read=20120523_u10m9l7l8v9

Utilisateur anonyme · Answer

bien,

?	Télécharger et enregistre ADWcleaner sur ton bureau (Merci à Xplode) :

http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner


Lance le, 
clique sur rechercher et poste son rapport.

KMV17 · Answer

C'est fait !

https://pjjoint.malekal.com/files.php?read=20120523_b10b7v13k12k9

Utilisateur anonyme · Answer

évite d'utiliser les logiciels proposés par softonic !

Softonic, comme 01net repacke  les logiciles libre spour y ajouter leurs barres d'outils !



relance ADWC, clique sur Supprimer, poste son rapport !

KMV17 · Answer

Voici le rapport d'ADWC 
https://pjjoint.malekal.com/files.php?read=20120523_c15e11i9s6n9

Je serai plus prudent. J'ai été embeté par Babylon il y a pas longtemps, par manque de prudence !

Utilisateur anonyme · Answer

relance ADWC, clique sur désinstaller,

* Télécharge ZHPDiag sur ton bureau :
	

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
ou 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
ou 
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
 
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :


https://www.cjoint.com/  => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers



je m'absente, @ ++

KMV17 · Answer

Pas de souci, bonne soirée !

Le rapport de ZHPDiag :
https://www.cjoint.com/?BExuZ7wRIbq

Utilisateur anonyme · Answer

vite fais avant de partire  :D




*	Lance ZHPFix via le raccourci sur ton Bureau



Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 


*	* Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans Zhpfix :
---------------------------------------------------------

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]   =>Spyware.BHO
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]   =>Spyware.BHO
[MD5.00000000000000000000000000000000] [APT] [{125331A6-EEC2-4E54-9E36-34C9B61C608F}] (...) -- C:\Program Files (x86)\RailSimulator.com\Railworks 3 Train Simulator 2012 Deluxe\RailWorks.exe (.not file.)    
O87 - FAEL: "TCP Query User{A77B3C4C-5F57-41DD-A16E-1F9E4F1F8F37}F:\logiciels\jeux\ut 2003 demo\system\ut2003.exe" |In - Private - P6 - TRUE | .(...) -- F:\logiciels\jeux\ut 2003 demo\system\ut2003.exe (.not file.)    
O87 - FAEL: "UDP Query User{03FE230A-9D0E-4565-A457-634B93273699}F:\logiciels\jeux\ut 2003 demo\system\ut2003.exe" |In - Private - P17 - TRUE | .(...) -- F:\logiciels\jeux\ut 2003 demo\system\ut2003.exe (.not file.)    
[HKLM\Software\WOW6432Node\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}]   =>Toolbar.Agent

Emptytemp
EmptyCLSID 

---------------------------------------------------------- 
 
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
Tuto :

http://www.premiumorange.com/zeb-help-process/zhpfix.html




tu as déjà MBAM sur ton pc ( Malwarebytes Anti-Malware )


lance le,


. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour 
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes 
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche 
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre. 
. Si des malwares ont été détectés, cliques sur Afficher les résultats 
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. rends toi dans l'onglet rapport/log 
. tu cliques dessus pour l'afficher une fois affiché 
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous 
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse 
. Tu cliques droit dans le cadre de la réponse et coller 
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!

Si tu as besoin d'aide regarde ce tutoriel : 
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

KMV17 · Answer

J'ai laissé MBAM tourner cette nuit.

Le résultat de ZHPFix :
https://pjjoint.malekal.com/files.php?read=20120524_q8t7k11h15s14

Et MBAM qui n'a rien trouvé !! Est ce que ça y est on a viré ce truc ?! =D
https://www.cjoint.com/?BEyivGz5uQo

Utilisateur anonyme · Answer

on verra ce qu'il dit ton antivirus :


/!\ Attention : 
de plus en plus de programmes proposent l'installation des barres d'outils (Toolbars, case précochée), donc n'oublie pas de décocher la/les cases correspondantes pendant l'installation.




* pour supprimer les outils de désinfection 
: 
Télecharge Delfix sur ton bureau : 

ICI

ou
	
https://www.commentcamarche.net/telecharger/securite/7111-delfix/ 

*Clique sur le bouton «  Suppression » et poste son rapport sur ton prochain message 
**Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation. 



	
	
  
. télécharges Ccleaner à partir de cette adresse et enregistres le sur le bureau 

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/  

.double-cliques sur le fichier pour lancer l'installation 

/!\ regarde bien qu'au moment d'installation, on ne t'installe pas les barres d'outils, si c'est le cas, décoche la case correspondante ! 

/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu'Administrateur » 

.sur la fenêtre de l'installation langage bien choisir français et OK  
.cliques sur suivant  
.lis la licence et j'accepte  
.cliques sur suivant  
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner  
.cliques sur installer  
.cliques sur fermer  
.double-cliques sur l'icône de Ccleaner pour l'ouvrir  
.une fois ouvert tu cliques sur option et puis avancé  
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures  
.cliques sur nettoyeur  
.cliques sur windows et dans la colonne avancé  
.coches la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la  
.cliques sur analyse une fois l'analyse terminé  
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien  
.cliques maintenant sur registre et puis sur rechercher les erreurs  
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées  
.il te demande de sauvegarder OUI  
.tu lui donnes un nom pour pouvoir la retrouver et enregistre  
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK  
.il supprime et fermer tu vérifies en relançant rechercher les erreurs  
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch  
.tu peux fermer Ccleaner 

tuto installation & nettoyage :  
https://www.donnemoilinfo.com/tuto/CCleaner/ 



* Supprimer les anciens points de restauration système après désinfection :  

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés : 



Pour Windows 7 :
 
https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/





* aide toi de ceci pour configurer avira :

https://www.commentcamarche.net/faq/16831-tutoriel-configuration-optimale-d-antivir-personal#2-la-configuration

fais une mise à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au courant du résultat :-)

KMV17 · Answer

Ok, j'ai tout suivi, aucun souci à déplorer.
Est ce que je fais un scan normal ou en mode sans échec ?

Utilisateur anonyme · Answer

configure déjà avira, lance une mise à jour, 

 puis lance un scan en mode normal, si tu vois que ça ne passe pas ou ça pose de problème, lance le en mode sans echec  :D

KMV17 · Answer

Je fais ça ce midi, dès que je rentre !
Merci encore

Utilisateur anonyme · Answer

ok, pas de soucis  :D

@ ++

KMV17 · Answer

Ca y est ça vient de finir !!!

Aucune menace détectée =D ! Voici la rapport :
https://www.cjoint.com/?BEyxIxEnIp9

Utilisateur anonyme · Answer

juste une petite explication :

 83 Des objets cachés ont été trouvés


tu as réglé avira pour un scan minutieux, d'ou ces messages !

tu peux diminuer le niveau de détection pour ne plus avoir ces messages  :D


crée un nouveau point de restauration système, ça peut servire  :D

sur ce, bon surf  ;-)

KMV17 · Answer

Ok, je lance un point de restauration !

Et surf .... Avec plus de prudence ! Je pense que la clé est là. Faut bien prendre une leçon pour comprendre X-)

Merci beauuuuuuuuucoup à vous deux !!
Bien cordialement

Utilisateur anonyme · Answer

;-)

TR/ATRAPS.Gen2

53 réponses

Discussions similaires