ATRAPS.Gen

tom82 Messages postés 9 Statut Membre -  
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour à tous,

Je suis infecté depuis hier par un virus : ATRAPS.Gen.
J'ai une alerte avira toute les 2 minutes. La suppression depuis le répertoire de quarantaine ne donne rien.
Au vu de mes lectures sur les forums, il semblerait que la "procédure de désinfection" soit propre à chaque PC.
Quelqu'un peut-il m'aider svp ? je ne suis pas un as de l'informatique.

Merci !

17 réponses

  1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Re :)

    Ah ben il me semblais bien qu'il y avait des restes inactif du rootkit 0access !

    Pour Antivir oui il est dépassé depuis 1 an, il ne sert plus à grand chose à vrai dire et fait des contrats douteux avec Ask.com ou d'autres partenaires pas très clean ...

    Souhaites-tu qu'on réalise un diagnostic complet afin de déceler d'autres malwares ou juges-tu que c'est bon ?

    Pour ton exe, il a été bouffé par qui/quoi ?
    1
  2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Salut,

    ça pue zeroaccess à plein nez

    Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
    Attention !!! : cet outil peut etre détecté à tort comme virus
    Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

    tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

    Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

    telecharge et enregistre Pre_Scan sur ton bureau :

    https://forums-fec.be/gen-hackman/Pre_Scan.exe

    si le lien ne fonctionne pas :

    http://www.archive-host.com

    si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

    si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

    https://forums-fec.be/gen-hackman/Pre_Scan.pif

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut que des fenêtres noires clignotent , laisse-le travailler.

    Laisse l'outil redemarrer ton pc.

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

    afin de faire une étude sur l'amelioration du deuxieme module de l'outil heberge aussi :

    C:\Pre_Scan\Process\Close.log
    0
  3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    ok.

    relance Pre_Scan clique sur Diag et héberge le rapport de la même manière.
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. tom82 Messages postés 9 Statut Membre
     
    Voici le lien pour le nouveau rapport :
    https://www.cjoint.com/?BLfmeAVM5Lt

    Avira qui s'était re-activé (sans que je fasse attention) lors de cette 2nd opération a trouvé : ZACCESS.BE

    Je dois m'absenter cette après-midi.
    Je reprends le fil demain matin.

    Merci!
    0
  6. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Clic droit sur ce lien : ComboFix et fais "Enregistrer (la cible du lien) sous" -> ton bureau -> et tu l'appelles "tom82.exe" (sans les guillemets)

    lance le et touche à rien puis envoie le rapport.
    0
  7. tom82 Messages postés 9 Statut Membre
     
    Bonjour,

    Le .exe n'a apparemment pas marché : j'ai un message d'erreur

    "Sous-système MS-DOS-16bits :
    C\ ...tom82.exe
    Le processeur NTVDM a rencontré une instruction non-autorisée.
    CS:138b IP:01a8 OP:63 6f 6e 74 65 Choisissez fermer pour fermer l'application".
    0
  8. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    hello,

    contré :)

    ▶ Télécharge et lance TDSSKiller.

    ▶ Choisis : Start Scan (clique pour l'aide en image) .

    ▶ Si TDSS.tdl2 est détecté, l'option Delete sera cochée par défaut.
    ▶ Si TDSS.tdl3 est détecté, assure-toi que Cure soit bien cochée.
    ▶ Si TDSS.tdl4(HardDisk0MBR) est détecté, assure-toi que Cure soit bien cochée.
    ▶ Si Suspicious file est indiqué, laisse l'option cochée sur Skip.
    ▶ Si Rootkit.Win32.ZAccess.* est détecté, règle l'outil sur Cure en haut , et Delete en bas.

    ▶ Si l'outil te le demande, redémarre pour finir le nettoyage.

    ▶ Sinon ferme le logiciel, un rapport se trouvera sous C:\TDSSKiller_N°DeVersion_Date_Heure_Log.txt.

    ▶ Héberge le rapport sur FEC Upload et donne le lien obtenu en retour.
    0
  9. tom82 Messages postés 9 Statut Membre
     
    Bonjour,

    Voici le lien du rapport tdskiller :
    https://forums-fec.be/upload/www/?action=d&id=1865533072
    Pas de fichiers TDDS trouvés à priori
    Avira m'a trouvé hier et mis en quarantaine : HTML/Redirector.CA.1
    Les 2 ZAccess.BE sont tjs en quarantainte. Je les supprime ?

    Cdt
    0
  10. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Salut,

    Tu peux.

    Néanmoins :

    Télécharge sur cette page: AdwCleaner (de Xplode)

    ▶ Lance-le

    clique sur Suppression et patiente le temps du nettoyage.

    ▶ Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.
    0
  11. tom82 Messages postés 9 Statut Membre
     
    Bonjour,

    Voici le rapport de adwcleaner :
    https://www.cjoint.com/?BLkknfK5YXo

    Je n'ai plus de détections de virus par avira.

    Dans les opérations précédentes, j'ai quelques applicatifs qui se sont désinstallés ou dont l'autorisation a sauté.
    Rien de grave tout de même.

    Cdt
    0
  12. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Salut ! =)

    Bien, on continue le ménage.
    Peux-tu être plus précis pour les applications et correctifs désinstallés ??

    ▶ Télécharge et installe Malwarebytes' Anti-Malware (MBAM).

    ▶ Exécute-le. Accepte la mise à jour.

    Uniquement en cas de problème de mise à jour:

    Télécharger mises à jour manuelles MBAM

    ● Exécute le fichier après l'installation de MBAM

    ▶ Sélectionne "Exécuter un examen complet"
    ▶ Clique sur "Rechercher"
    ▶ L'analyse démarre, le scan est relativement long, c'est normal.

    A la fin de l'analyse, un message s'affiche :

    Citation :

    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

    ▶ Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
    ▶ Ferme tes navigateurs.
    ▶ Si des malwares ont été détectés, clique sur Afficher les résultats.
    ▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le.

    Si MBAM demande à redémarrer le pc : ▶ fais-le.

    Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée.
    0
  13. tom82 Messages postés 9 Statut Membre
     
    Bonjour,

    La pêche semble avoir été bonne :
    https://www.cjoint.com/?BLljwPWPQvw

    Avira me semble ici dépassé. Faut-il passer à autre chose telle que MBAM ou autres ?

    Les dégâts collatéraux précédents ont été
    - une suppression d'un .exe correspondant à ARSIA (connexion à un serveur dont je ne vais plus avoir besoin pour cause de changement de mon contexte prof.)
    - une autorisation sautée d'utilisation de mon logiciel carto ARCGIS. J'ai refais la procédure d'autorisation avec succès.
    Rien d'autres de visible pour l'instant.

    Cdt
    0
  14. tom82 Messages postés 9 Statut Membre
     
    Bonjour,

    Aucune idée pour la disparition de mon .exe ARSIA. C'est pas bien grave.
    Il a dû être considéré comme un fichier douteux et passer à la trappe.

    Je veux bien continuer à faire un scan complet si tu as du temps.

    Je ne veux ne pas non plus abuser ... Le principal est fait je pense.

    Que me conseilles tu comme anti-virus efficace, actualisé et gratuit ?

    Merci de m'avoir aidé !

    Cdt
    0
  15. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Salut,

    Nan mais t'inquiète pas ^^

    Télécharge ici :OTL

    enregistre le sur ton Bureau.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    => Clique ici pour voir la Configuration

    ▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    services.exe
    volsnap.sys
    atapi.sys
    ndisuio.sys
    net.exe
    tdx.sys
    netbt.sys
    afd.sys
    net1.exe
    Rundll32.exe
    /md5stop
    netsvcs
    safebootminimal
    safebootnetwork
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\system32\*.exe /lockedfiles
    %systemroot%\system32\*.ini
    %systemroot%\Tasks\*.*
    %systemroot%\system32\Tasks\*.*
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    %systemroot%\system32\config\*.exe /s
    %systemroot%\system32\*.sys
    HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
    CREATERESTOREPOINT
    SAVEMBR:0


    ▶ Clic sur Analyse.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    heberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange
    0
  16. tom82 Messages postés 9 Statut Membre
     
    Bonjour,

    Tout d'abord, tous mes voeux pour l'année 2013 ...
    J'ai du suspendre un peu les opérations de nettoyage pour cause de surcharge au boulot.

    Voici les deux rapports OTL et EXTRAS :
    https://forums-fec.be/upload/www/?action=d&id=4429853272
    https://forums-fec.be/upload/www/?action=d&id=3330490353

    Autre petit dérapage de nettoyage constaté (?) :
    Tous les fichiers ".dbf" de mes couches cartographiques dans le répertoire "temp" sur la racine c:\ ont disparu au cours des opérations précédentes.
    J'avais heureusement fait des sauvegardes extérieures.

    Merci !
    Cdt
    0
  17. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Salut tom,

    Y'a juste pdfforge toolbar que tu peux désinstaller si tu ne t'en sers pas.
    Les toolbars ça ralenti ta navigation et pour certaines ça espionne même celle-ci.

    Ah oui les répertoires temporaires sont tous supprimés ... Quelle idée aussi pour ton logiciel de laisser ça dans des dossiers temporaires =/ vaut mieux utiliser les répertoires %APPDATA% pour ce genre de chose.

    Sinon plus rien de visible sur tes rapports.

    Tu peux passer au nettoyage, c'est aussi indiqué pour l'antivirus : http://forums-fec.be/entraide/viewtopic.php?f=11&t=229

    Tiens moi au jus :)

    Meilleurs voeux pour 2013
    0
    1. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
       
      Salut Julien

      ==> Ah oui les répertoires temporaires sont tous supprimés ...
      Quelle idée aussi pour ton logiciel de laisser ça dans des dossiers temporaires
      =/ vaut mieux utiliser les répertoires %APPDATA% pour ce genre de chose
      .

      De quel logiciel s'agit-il ?
      ... Serait à intégrer dans la procédure (OTL, Pre_Scan ?) (à suivre sur d'autres outils ?) ;)

      Albert
      0
    2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      Salut Al,

      C'est à propos de ceci :

      Tous les fichiers ".dbf" de mes couches cartographiques dans le répertoire "temp" sur la racine c:\ ont disparu au cours des opérations précédentes.
      J'avais heureusement fait des sauvegardes extérieures.


      Je suppose qu'il s'agit d'un logiciel pro :-)
      0