TR/ATRAPS.gen2

Fermé
//2FuR!OuS Messages postés 20 Date d'inscription samedi 1 septembre 2012 Statut Membre Dernière intervention 2 septembre 2012 - 1 sept. 2012 à 02:25
//2FuR!OuS Messages postés 20 Date d'inscription samedi 1 septembre 2012 Statut Membre Dernière intervention 2 septembre 2012 - 2 sept. 2012 à 19:19
Bonjour,

J'ai également choppé ce trojan, help.
J'ai compris que les lignes de commandes étaient spécifiques donc j'ai créé un nouveau post.
J'attends vos réponses pour me guider pour un nettoyage.
Merci d'avance. :)



23 réponses

juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
1 sept. 2012 à 02:42
Bonjour,

Télécharge ici :OTL

enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur OTL.exe pour le lancer.

=> Clique ici pour voir la Configuration

▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
netsvcs
safebootminimal
safebootnetwork
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT


▶ Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur http://pjjoint.malekal.com et donne les liens
0
//2FuR!OuS Messages postés 20 Date d'inscription samedi 1 septembre 2012 Statut Membre Dernière intervention 2 septembre 2012
1 sept. 2012 à 12:16
Bonjour, merci de ta réponse, voici le lien.

https://pjjoint.malekal.com/files.php?id=20120901_13u10x9p5t7
0
//2FuR!OuS Messages postés 20 Date d'inscription samedi 1 septembre 2012 Statut Membre Dernière intervention 2 septembre 2012
1 sept. 2012 à 12:51
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
1 sept. 2012 à 17:28
Re,

Désinstalle spybot search & destroy rien du tout si encore présent

====================

Télécharge sur cette page: AdwCleaner (de Xplode)

▶ Lance-le

clique sur Suppression et patiente le temps du nettoyage.

▶ Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
//2FuR!OuS Messages postés 20 Date d'inscription samedi 1 septembre 2012 Statut Membre Dernière intervention 2 septembre 2012
1 sept. 2012 à 19:18
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
1 sept. 2012 à 19:19
bien !

▶ Télécharge et installe Malwarebytes' Anti-Malware (MBAM).

▶ Exécute-le. Accepte la mise à jour.



Uniquement en cas de problème de mise à jour:

Télécharger mises à jour manuelles MBAM

● Exécute le fichier après l'installation de MBAM



▶ Sélectionne "Exécuter un examen complet"
▶ Clique sur "Rechercher"
▶ L'analyse démarre, le scan est relativement long, c'est normal.

A la fin de l'analyse, un message s'affiche :

Citation :

L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

▶ Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
▶ Ferme tes navigateurs.
▶ Si des malwares ont été détectés, clique sur Afficher les résultats.
▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le.

Si MBAM demande à redémarrer le pc : ▶ fais-le.

Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée.
0
//2FuR!OuS Messages postés 20 Date d'inscription samedi 1 septembre 2012 Statut Membre Dernière intervention 2 septembre 2012
1 sept. 2012 à 19:20
PS: jusqu'à présent, il est toujours là....
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
1 sept. 2012 à 19:21
0
//2FuR!OuS Messages postés 20 Date d'inscription samedi 1 septembre 2012 Statut Membre Dernière intervention 2 septembre 2012
1 sept. 2012 à 20:31
Le rapport MBAM:

https://pjjoint.malekal.com/files.php?id=20120901_b15m10v8n9d10

(au redémarrage, avira détecte toujours le tr)
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
1 sept. 2012 à 20:44

▶ Fais un clic droit et "Enregistrer la cible (du lien sous) -> tonprenom.exe -> destination ton bureau (ET PAS AILLEURS) sur le lien suivant : ComboFix

Ferme les fenêtres de tous les programmes en cours.
Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.



si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur combofix renommé

Si tu es sur Windows XP, laisse-le installer la console de récupération.

▶ Ne touche à rien durant le scan

ComboFix devrait redémarrer ton PC.

▶ n'oublie pas de réactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.


▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

0
//2FuR!OuS Messages postés 20 Date d'inscription samedi 1 septembre 2012 Statut Membre Dernière intervention 2 septembre 2012
1 sept. 2012 à 20:57
Message d'erreur quand je lance combix renommé "erreur d'ecriture........ abandonner-recommencer-ignorer"
recommencer >meme message
ignorer>freeze
0
//2FuR!OuS Messages postés 20 Date d'inscription samedi 1 septembre 2012 Statut Membre Dernière intervention 2 septembre 2012
1 sept. 2012 à 21:49
C'est bon, il s'est lancé après redémarrage... En cours...
0
//2FuR!OuS Messages postés 20 Date d'inscription samedi 1 septembre 2012 Statut Membre Dernière intervention 2 septembre 2012
1 sept. 2012 à 22:49
Ça va faire bientôt 1h que combix affiche
"system file is infected !! Attempting to restore, C:\Windows \System 32 \Services.exe "
Ça a pourtant l'air de travailler, j'entends le dd... Normal ?
0
//2FuR!OuS Messages postés 20 Date d'inscription samedi 1 septembre 2012 Statut Membre Dernière intervention 2 septembre 2012
1 sept. 2012 à 23:47
Ok j'ai rien dit... ^^
0
//2FuR!OuS Messages postés 20 Date d'inscription samedi 1 septembre 2012 Statut Membre Dernière intervention 2 septembre 2012
1 sept. 2012 à 23:57
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
2 sept. 2012 à 08:23
hello

refais un combofix stp il n'a pas su remplacer services.exe

on va voir maintenant s'il y arrive :)
0
//2FuR!OuS Messages postés 20 Date d'inscription samedi 1 septembre 2012 Statut Membre Dernière intervention 2 septembre 2012
2 sept. 2012 à 14:48
0
//2FuR!OuS Messages postés 20 Date d'inscription samedi 1 septembre 2012 Statut Membre Dernière intervention 2 septembre 2012
2 sept. 2012 à 14:52
Faudra un jour qu'on m'explique comment on interprète ces rapports....
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
2 sept. 2012 à 16:00
Je fais une formation là dessus avec gen-hackman et d'autres ;)

======================================

bon combofix veut pas bosser on va devoir lui expliquer comment faire ^^


__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------


Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui est entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

ClearJavaCache::

Folder::
C:\32788R22FWJFW
c:\windows\SysWow64\%APPDATA%

FCopy::
c:\windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_2d69d4f782c83d8c\services.exe | c:\windows\system32\services.exe

------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme ceci : Illustration

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt


0
//2FuR!OuS Messages postés 20 Date d'inscription samedi 1 septembre 2012 Statut Membre Dernière intervention 2 septembre 2012
2 sept. 2012 à 16:27
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
2 sept. 2012 à 18:46
bien bien

relance simplement combofix voir s'il a été bien désinfecté services.exe :)
0
//2FuR!OuS Messages postés 20 Date d'inscription samedi 1 septembre 2012 Statut Membre Dernière intervention 2 septembre 2012
2 sept. 2012 à 19:06
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
2 sept. 2012 à 19:07
Eh bien voilà \o/

Télécharge ici :OTL

enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur OTL.exe pour le lancer.

=> Clique ici pour voir la Configuration

▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
netsvcs
safebootminimal
safebootnetwork
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT


▶ Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur http://pjjoint.malekal.com et donne les liens
0
//2FuR!OuS Messages postés 20 Date d'inscription samedi 1 septembre 2012 Statut Membre Dernière intervention 2 septembre 2012
2 sept. 2012 à 19:08
Super ;)

Euh....c'est ce que tu m'as fait faire en premier, il est déjà installé OTL...
0