TR/ATRAPS.Gen Résolu/Fermé

Question

Bonjour, 

À chaque deux minutes, mon antivirus me harcèle avec trois infections qu'il trouve en même temps:

TR/ATRAPS.Gen, TR/ATRAPS.Gen2 et TR/Small.FI

Comment puis-je me débarasser de ces virus? 

Coordialement, 

HawkOfShadow

Configuration: Windows 7 / Firefox 13.0

Utilisateur anonyme · Answer

bonjour,
le nom ne me parle pas, mais si tu donnes le rapport de ton antivirus, on peut trouver d'ou ça veint  :D

HawkOfShadow · Answer

Ça vient de C:\Windows\Installer\{899dc73b-d305-f1f5-e831-36de99c9717\U\
à partir d'ici ça se sépare en trois parties:  
80000000.@ pour ATRAPS.Gen 
800000cb.@ pour ATRAPS.Gen2 
00000001.@ pour Small.FI 

J'ai un rapport OTL et un rapport Malwarebytes au besoin.  

Merci pour la réponse rapide, 

HawkOfShadow

Utilisateur anonyme · Answer

envoie déjà le rapport de MBAM, on verra le reste après  :D

HawkOfShadow · Answer

Alors voilà le lien OTL: 

https://www.cjoint.com/?BFjrIfs3fJI

Le lien Malwarebytes: 

https://www.cjoint.com/?BFjrJ0K9RKl

Utilisateur anonyme · Answer

*	Télécharge TDSSKiller sur ton bureau :

https://support.kaspersky.com/downloads/utils/tdsskiller.exe

*  Lance le ( Utilisateurs de vista/Seven -> Clic droit puis " Exécuter en tant qu'administrateur " ) 

*  Clique sur [Start Scan] pour démarrer l'analyse. 

*  Si des élements sont trouvés, cliques sur [Continue] puis sur [Reboot Now] 

*  Un rapport s'ouvrira au redémarrage du PC. 

*  Copie/Colle son contenu dans ta prochaine réponse. 

Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt.

note : 
 Conserve l'action proposée par défaut par l'outil :

- Si TDSS.tdl2 : l'option Delete sera cochée. 
- Si TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure soit bien cochée. 
- Si "Suspicious object" ou Sptd ou ForgedFile.Multi.Generic : laisse l'option cochée sur Skip
- Si Rootkit.Win32.ZAccess.* est détecté règle sur cure en haut , et delete en bas:D

HawkOfShadow · Answer

Je suis allé mangé et je suis de retour.

Bon, alors pas de rapport, puisqu'il n'a absolument rien trouvé. Les messages continuent d'être envoyé par mon antivirus. Dois-je utiliser un autre outil?

Utilisateur anonyme · Answer

on en vient :

* Télécharge ZHPDiag sur ton bureau :
	

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
ou 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
ou 
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
 
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :


https://www.cjoint.com/  => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

HawkOfShadow · Answer

Alors, voici le fichier: 

https://www.cjoint.com/?BFjty499YcG

Utilisateur anonyme · Answer

désinstalle spybot, il est in utile !


ton pc est blindé d'adwares !

Wot ne fera rien de plus si le pc est infecté !



installe la version 7.04 de java depuis son site!






?	Télécharger et enregistre ADWcleaner sur ton bureau (Merci à Xplode) :

http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner


Lance le, 
clique sur rechercher et poste son rapport

HawkOfShadow · Answer

https://www.cjoint.com/?BFjw7YpN9PU

Voilà le lien.

Utilisateur anonyme · Answer

bonjour,

relance ADWC, clique sur supprimer, poste son rapport

HawkOfShadow · Answer

Et un autre rapport, je sens déjà mon ordinateur plus en forme :P

https://www.cjoint.com/?BFkoJ03yVBQ

Utilisateur anonyme · Answer

relance ADWC, clique sur désinstaller,




relance zhpdiag,

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
 * Héberge le rapport ZHPDiag.txt sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
 

https://www.cjoint.com/  => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

HawkOfShadow · Answer

J'ai l'impression que le virus se manifeste à certaines places précises. Bizarre, non? 

Trêve de plaisanteries, voici le rapport: 

https://www.cjoint.com/?BFkpuh4dvJR

Utilisateur anonyme · Answer

*	Lance ZHPFix via le raccourci sur ton Bureau



Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 


*	* Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans Zhpfix :
---------------------------------------------------------

O43 - CFD: 2011-11-23 - 20:20:27 - [61,346] ----D C:\Program Files (x86)\PopCap Games 
O43 - CFD: 2011-11-23 - 20:20:27 - [41,499] ----D C:\ProgramData\PopCap Games    
O43 - CFD: 2011-11-23 - 20:20:27 - [61,346] ----D C:\Program Files (x86)\PopCap Games    
C:\ProgramData\PopCap Games   =>Adware.PopCap   C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PopCap Games   =>Adware.PopCap 
O43 - CFD: 2012-06-08 - 18:53:41 - [42,250] ----D C:\ProgramData\Spybot - Search & Destroy
O43 - CFD: 2011-12-24 - 10:35:21 - [63,310] ----D C:\Program Files (x86)\Spybot - Search & Destroy
[HKCU\Software\PopCap]   =>Adware.PopCap
[HKCU\Software\AppDataLow\Software\uTorrentBar_FR]   =>Toolbar.Conduit
C:\Program Files (x86)\PopCap Games   =>Adware.PopCap
C:\Users\Felix\AppData\LocalLow\uTorrentBar_FR   =>Toolbar.Conduit
[MD5.390679F7A217A5E73D756276C40AE887] - (.Safer-Networking Ltd. - System settings protector.) -- C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe   [2260480] [PID.3448]
O4 - HKCU\..\Run: [SpybotSD TeaTimer] . (.Safer-Networking Ltd. - System settings protector.) -- C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe    => Safer Net Working%Spybot S&D
O4 - Global Startup: C:\Users\Felix\Desktop\jEdit.lnk . (...)  -- C:\Program Files (x86)\jEdit\jedit.exe (.not file.)    => Fichier absent
O4 - Global Startup: C:\Users\Felix\Desktop\Spybot - Search & Destroy.lnk . (.Safer Networking Limited.)  -- C:\Program Files (x86)\Spybot - Search & Destroy\SpybotSD.exe
O4 - Global Startup: C:\Users\Felix\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Spybot - Search & Destroy.lnk . (.Safer Networking Limited.)  -- C:\Program Files (x86)\Spybot - Search & Destroy\SpybotSD.exe
[MD5.00000000000000000000000000000000] [APT] [{91A5419D-2354-4378-BE41-89C2937DF0AD}] (...) -- C:\Users\Felix\Desktop\Minecraft\Minecraft.exe (.not file.) 
O51 - MPSK:{11427be8-905f-11e1-ba1d-f46d04256924}\AutoRun\command. (...) --E:\StartClickFreeBackup.exe (.not file.)    
Emptytemp
EmptyFlash
EmptyCLSID

---------------------------------------------------------- 
 
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
Tuto :

http://www.premiumorange.com/zeb-help-process/zhpfix.html

HawkOfShadow · Answer

Voici le rapport:  

https://www.cjoint.com/?BFkpMkXPvah

Modification: 

Est-ce qu'un rapport Hijackthis pourrait être utile?

Utilisateur anonyme · Answer

zhpdiag est plus complet que Hijackthis  :D

regarde voir si avira fonctionne bien, il parait bizzare dans le rapport !



Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:

https://fr.malwarebytes.com/mwb-download/
ou :

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 
ou ici :
 https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

 
/!\Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »

. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour 
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes 
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche 
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre. 
. Si des malwares ont été détectés, cliques sur Afficher les résultats 
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. rends toi dans l'onglet rapport/log 
. tu cliques dessus pour l'afficher une fois affiché 
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous 
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse 
. Tu cliques droit dans le cadre de la réponse et coller 
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!

Si tu as besoin d'aide regarde ce tutoriel : 
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

HawkOfShadow · Answer

Juste une petite question. Est-ce que je peux laisser Avira me harceler durant que je vais faire quelque chose d'autre? Ça commence à devenir long de toujours peser sur le bouton supprimer!

Utilisateur anonyme · Answer

qu'est ce qu'il dit ?

HawkOfShadow · Answer

Il me dit tout le temps qu'il trouve les même trois virus et me dérange avec un bip sonore.

Utilisateur anonyme · Answer

ok,

avant de passer MBAM, passe ceci :


*		/!\Avertissement :
Ce logiciel n'est à utiliser que prescrit par un helper qualifié.
Ne pas utiliser en dehors de ce cas de figure : dangereux! 

	
&#9658; Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm 
ou ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
A lire 
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

Avant d'utiliser ComboFix :
 
&#9658; ferme les fenêtres de tous les programmes en cours.
 
&#9658; Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 
Une fois fait, sur ton bureau double-clic sur Combofix.exe. 

/!\Utilisateur de Vista : Clique droit sur le logo de Combofix, « exécuter en tant qu'Administrateur »

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
 
- il se peut que Combofix ait besoin de se connecter à internet pour trouver les mises à jour, donc il faut l'autoriser.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
 
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\ComboFix\ComboFix.txt) 
&#9658; Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 
&#9658; Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

HawkOfShadow · Answer

Je sais pas pourquoi, mais j'ai un mauvais pressentiment. Combofix est très, très puissant, non? Donc, pour utiliser Combofix, est-ce que je devrais redémarrer en mode sans échec avec l'utilisation d'internet pour les mises à jour?

Utilisateur anonyme · Answer

non, lance le en mode normal, s'il y  a des trucs qui se cachent, il va les dénicher  :D

HawkOfShadow · Answer

Est-ce que je dois fermer les autres programmes lancés au démarrage, comme mon outil d'overclocking qui vient avec la carte mère et dont je ne sais pas comment le fermer?

Modification: Laisse, j'ai trouvé comment les fermer de toute façon.

Utilisateur anonyme · Answer

:D

HawkOfShadow · Answer

Comment je fais pour complètement fermer mon antivirus? ComboFix fait un gros bip-bip même si la protection en temps réel est désactivé.
P.S.: Ils font peur ces bip-bip.

HawkOfShadow · Answer

Alors bon Dieu...

Maintenant, Windows 7 ne veut plus me laisser ouvrir une application pour question de registre après avoir utilisé Combofix.

Que dois-je faire, de plus qu'après le redémarrage, d'autres applications ont redémarrer avec Windows?


HawkOfShadow

Utilisateur anonyme · Answer

bonjour,

Maintenant, Windows 7 ne veut plus me laisser ouvrir une application pour question de registre après avoir utilisé Combofix.
 
Que dois-je faire, de plus qu'après le redémarrage, d'autres applications ont redémarrer avec Windows?
 

peux tu expliquer un peu plus clairement ?




normalement, Combofix a du créer un point de restauration système avant son lancement, donc si tu vois que le pc présante des anomalie de fonctionnement, restaure le pc à une date avant don lancement  :D

HawkOfShadow · Answer

Explication:
Lorsque j'ouvre un fichier, il ne s'ouvre pas avec une fenêtre d'erreur ayant rapport au registre Windows. Aussi, je sais pas, mais ça me semble revenir à la case départ, non? Combofix a plus bousillé mon ordi que le virus.

Utilisateur anonyme · Answer

mais non, envoie moi son rapport déjà, on verra ce qu'il a supprimé ! 


au pire des cas, il y a juste à restaurer le pc ! 



O.o°*??? Membre, Contributeur sécurité CCM o°.Oø¤º°'°º¤ø  

O.o°* ??? Réspire à fond, Rédige ton message en bon français et de manière claire.Ca va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø

HawkOfShadow · Answer

Note personnelle: Redémarrer le PC après avoir utilisé Combofix... Hein, quoi?   

Bon, finalement, tout s'ouvre et il ne m'harcèle plus. Et dû au magnifique décalage horaire, il doit être tard chez toi. Voici le rapport:   

https://www.cjoint.com/?BFlwY1xNxrC 

re-modification: Quelque chose m'a enlevé mes jeux popcap :(

HawkOfShadow · Answer

Maintenant, mon antivirus ne me harcèle pas aux deux minutes pour le virus :D
Merci beaucoup! 

Que me reste-t-il à faire désormais?

Utilisateur anonyme · Answer

bonjour,

Une copie infectée de c:\windows\system32\Services.exe a été trouvée et désinfectée 
Copie restaurée à partir de - c:\windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe 
.


tes jeux sont moins importants que un fichiers systèmede windows infecté 


à l'avenir fais attention aux barres d'outils et le téléchargement !


/!\ Attention : 
de plus en plus de programmes proposent l'installation des barres d'outils (Toolbars, case précochée), donc n'oublie pas de décocher la/les cases correspondantes pendant l'installation.




* pour supprimer les outils de désinfection 
: 
Télecharge Delfix sur ton bureau : 

ICI

ou
	
https://www.commentcamarche.net/telecharger/securite/7111-delfix/ 

*Clique sur le bouton «  Suppression » et poste son rapport sur ton prochain message 
**Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation. 
	
	
  
. télécharges Ccleaner à partir de cette adresse et enregistres le sur le bureau 

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/  

.double-cliques sur le fichier pour lancer l'installation 

/!\ regarde bien qu'au moment d'installation, on ne t'installe pas les barres d'outils, si c'est le cas, décoche la case correspondante ! 

/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu'Administrateur » 

.sur la fenêtre de l'installation langage bien choisir français et OK  
.cliques sur suivant  
.lis la licence et j'accepte  
.cliques sur suivant  
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner  
.cliques sur installer  
.cliques sur fermer  
.double-cliques sur l'icône de Ccleaner pour l'ouvrir  
.une fois ouvert tu cliques sur option et puis avancé  
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures  
.cliques sur nettoyeur  
.cliques sur windows et dans la colonne avancé  
.coches la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la  
.cliques sur analyse une fois l'analyse terminé  
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien  
.cliques maintenant sur registre et puis sur rechercher les erreurs  
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées  
.il te demande de sauvegarder OUI  
.tu lui donnes un nom pour pouvoir la retrouver et enregistre  
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK  
.il supprime et fermer tu vérifies en relançant rechercher les erreurs  
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch  
.tu peux fermer Ccleaner 

tuto installation & nettoyage :  
https://www.donnemoilinfo.com/tuto/CCleaner/ 



* Supprimer les anciens points de restauration système après désinfection :  

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés : 



Pour Windows 7 :
 
https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/

 


* fais une mise à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au courant du résultat :-)

HawkOfShadow · Answer

Résultat d'Antivir: 4 "virus". 
En fait, ce sont des codes compilés avec Code::Blocks. J'ai le code source devant moi et ça a rien de dangereux. C'est tout. 
Pour CCleaner, tout s'est bien passé, aucun bloquage. 
Rapport DelFix: 
https://www.cjoint.com/?BFpmP2OOd1c
Finalement, j'ai détruit mes anciens points de restaurations. 
Et voilà! 


Y-a-t-il d'autres choses à faire?

Utilisateur anonyme · Answer

crée un nouveau point de restauration système, ça peut servire  :D

sur ce, bon surf  ;-)

TR/ATRAPS.Gen

35 réponses

Discussions similaires