TR/ATRAPS.Gen2 Fermé

Question

Bonjour, 

Sur un PC de mon entourage, Avira signale que le fichier TR/ATRAPS.Gen2 a été trouvé (dans la corbeille => c:\$Recycle.Bin\ ...)

J'ai lancé un scan MBAM en cochant la suppression en fin de scan, voici le rapport

========================================
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.04.02.12

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
FRANCOISE :: FRANCOISE-VAIO [administrateur]

02/04/2013 21:22:03
mbam-log-2013-04-02 (21-22-03).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 395054
Temps écoulé: 1 heure(s), 37 minute(s), 27 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 6
C:\$Recycle.Bin\S-1-5-18\$e8be6939b273c2455db2cca970e18fe1\U\00000004.@ (Trojan.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-18\$e8be6939b273c2455db2cca970e18fe1\U\00000008.@ (Trojan.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-18\$e8be6939b273c2455db2cca970e18fe1\U\000000cb.@ (Trojan.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-18\$e8be6939b273c2455db2cca970e18fe1\U\80000000.@ (Trojan.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-18\$e8be6939b273c2455db2cca970e18fe1\U\80000032.@ (Trojan.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-18\$e8be6939b273c2455db2cca970e18fe1\U\80000064.@ (Trojan.0Access) -> Mis en quarantaine et supprimé avec succès.

(fin)
========================================

Malgré le reboot demandé, Avira détecte tjs un pb avec ce fichier et ne parvient pas a le supprimer (Accès refusé)

Pour gagner du temps, j'ai installé un ZHPDiag et j'ai lancé un scan mais j'ai du mal a deposer le rapport sur un site.
Je prefère poster tout de meme ce sujet pour vous demander de l'aide, et pendant ce temps , je me debrouille pour poster le rapport ZHPDiag. 

Merci !
GMV
Configuration: Windows 7 / Internet Explorer 9.0

juju666 · Answer

Salut désinstalle ZHPDiag

=======================

&#9654 Télécharge ici :  RogueKiller 
&#9654 Enregistre et ferme tous les programmes en cours
&#9654 Lance RogueKiller et attend que le Prescan ait fini
&#9654 Accepte l'EULA puis clique sur Scan. 
&#9654 Une fois terminé, clique sur Rapport et copie/colle le rapport dans ta prochaine réponse.

GMV · Answer

Bonsoir Juju,

Merci pour ta réponse rapide.
j'ai bcp de mal à aller sur le site "sur la toile" pour récupérer RogueKiller. c'est deja sur ce meme site que j'essayais de deposer mon rapport ZHPDIAG
Y a t il un autre site pour le télécharger ?
Merci encore,

juju666 · Answer

Et si tu clique ici ? https://www.luanagames.com/index.fr.html

Si pas je te l'héberge chez moi ...

GMV · Answer

En fait, cela semble venir du PC
Je viens de le télécharger sur mon PC a moi et je l'ai transféré avec une clé USB
(le 32 et le 64bit) sur le PC infecté
Par contre, je ne parviens pas a les lancer.
J'ai le message "Windows ne trouve pas le fichier ..."

j'ai un peu de mal a comprendre ....

g3n-h@ckm@n · Answer

salut

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau  :

http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html  (renommé winlogon)

ou , si le lien n'est pas fonctionnel :

http://www.archive-host.com (renommé winlogon)
http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :

http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

l'outil va envoyer sur un serveur les virus qu'il a mis en quarantaine afin que je puisse l'ameliorer et etudier ces infections plus en profondeur.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra  à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

GMV · Answer

ouh là, je ne comprends plus du tout.
C'est RogueKiller que je dois lancer ou Prescan ?

pour le moment, je viens d'uploader le rapport de ZHPDiag :
https://www.luanagames.com/index.fr.html

je vais tenter d'arreter Avira et le reste pour relancer RogueKiller

juju666 · Answer

1) Beurk ZHPDiag, en plus le rapport n'est vraiment pas complet du tout et problème de charset, donc ZHPDiag tu le mets à la poubelle pour le moment, tu perds ton temps avec et il ne nous aidera pas pour le rootkit zeroaccess de toute manière.

2) Oui, RogueKiller, et si tu as encore un message d'erreur :

3) Tu télécharges et lance Pre_scan en prenant soin de désactiver Avira AVANT ;)

GMV · Answer

ok, je fais ca demain matin, trop fatigué.
Merci a demain

GMV · Answer

Me revoilà

voici le lien du fichier log de Pre_scan : https://www.luanagames.com/index.fr.html

dois-je tout de meme  telecharger RogueKiller ?

Merci !

juju666 · Answer

salut 

pre_scan semble avoir fait du bon boulot

=============================

&#9654 Télécharge et installe Malwarebytes' Anti-Malware (MBAM). 

&#9654 Exécute-le. Accepte la mise à jour.

&#9654 Sélectionne "Exécuter un examen complet" 
&#9654 Clique sur "Rechercher" 
&#9654 L'analyse démarre, le scan est relativement long, c'est normal. 

A la fin de l'analyse, un message s'affiche : 

 Citation :

    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés. 

&#9654 Clique donc sur Afficher les résultats. 
&#9654 Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
    MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le. 

Si MBAM demande à redémarrer le pc : &#9654  fais-le. 

Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée.

g3n-h@ckm@n · Answer

hello j'aurais bien aimé voir un diag de pre_scan....

g3n-h@ckm@n · Answer

non en fait je parlais de relancer pre_scan , et qu'au menu à boutons qu'il va t'afficher , tu cliques sur diag , et que tu heberges le rapport pre_diag et que tu donnes le lien.

GMV · Answer

hello,

je vais relancer Pre_scan
En attendant voici le rapport MBAM:

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.04.02.12

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
FRANCOISE :: FRANCOISE-VAIO [administrateur]

03/04/2013 22:11:00
mbam-log-2013-04-03 (22-11-00).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 386805
Temps écoulé: 1 heure(s), 37 minute(s), 57 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

GMV · Answer

Désolé mais il n'y a pas de fichier pre_diag*.*
j'ai fait une recherche sur *.txt, seul un fichier debug.txt a une date qui correspond a mon diag :
[Rest_Reg_Tmgr_A]
[Rest_Reg_Tmgr_B]
[Stop_Proc]
[List_sess]
[Recup_List_File]
[Recup_List_File_Doub]
[Assoc_net]
[Corr_Sys]
[Header]
[Head_sess]
[Rest_P_A]
[Rest_P_B]
[Proc_Act_List]
[Modif_winlgn]
[Corr_SFB]
[Del_Reg_IFEO]
[Del_Reg_M2]
[Param_svc]
[Prx]
[Param_IE]
[Host]
[Del_Recycl]
[del_app_n]
[Del_svchost]
[Del_LM_SFT]
[Del_Lm_M$]
[Del_Reg_Rtk]
[Del_win_*.ext]
[Del_File_Rtk]
[Del_comFile_ext]
[Del_File_Reg_Tsk]
[Del_Rog_Run4]
[Del_File_lnk]
[Del_File_rog32]
[Del_Fold_appd]
[Del_Fold_win]
[Del_File_Hom_Ext_&_Ext]
[Del_File_Hom_Ext_&_Ext]
[Del_File_Hom_Ext_&_Ext]
[Del_File_Hom_Ext_&_Ext]
[Del_File_Hom_Ext_&_Ext]
[Del_File_Hom_Ext_&_Ext]
[Del_File_Hom_Ext_&_Ext]
[Del_File_Hom_Ext_&_Ext]
[Del_File_Hom_Ext_&_Ext]
[Del_File_Hom_Ext_&_Ext]
[Del_File_Hom_Ext_&_Ext]
[Del_File_Hom_Ext_&_Ext]
[Del_File_Hom_Ext_&_Ext]
[Del_File_Hom_Ext_&_Ext]
[Del_File_Hom_Ext_&_Ext]
[Del_File_Hom_Ext_&_Ext]
[Del_File_Hom_Ext_&_Ext]
[Del_File_win_Ext_&_Ext]
[Del_File_Rog_Date]
[Del_File_Rog_ZA_List]
[Del_File_Java_cache]
[del_App_X]
[del_mod_*]
[Perm_Reg]
[winlog_list]
[FF_Pref]

g3n-h@ckm@n · Answer

non le debug n'est pas utile là...

y'a un truc que tu dois pas faire bien ,je sais pas une sandbox que tu as reactivé ou .....une protection qui gène.....

GMV · Answer

bon, je vais retenter ce WE. 
En attendant, vu que MBAM n'a rien signalé et qu'Avira ne sonne plus, j'ai rendu le PC a sa propriétaire qui en avait besoin.

Par contre, Pre_Scan a mis pas mal de fichier en quarantaine. Puis je les supprimer ?

quid de RogueKiller ?

Merci !

g3n-h@ckm@n · Answer

fallait faire le menage final dans ce cas au minimum

https://forums-fec.be/entraide/viewtopic.php?f=11&t=229

GMV · Answer

ok je le ferai ce WE, je n'ai plus le PC avec moi
je vous ferai un retour une fois que j'aurai passé le diag de pre_scan et effectué le nettoyage.

Merci encore

g3n-h@ckm@n · Answer

ah ben si tu passes le diag de pre_scan , attends avbant de faire le menage y'aura certainement un script à faire

GMV · Answer

Comme convenu, avec un peu de retard le fichier de résultat du Diag de pre_scan :
https://www.luanagames.com/index.fr.html

g3n-h@ckm@n · Answer

Télécharge et enregistre ADWCleaner sur ton bureau :

Lance le,(Pour vista/7/8 => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste C:\Adwcleaner[Sx].txt

GMV · Answer

Hello, me revoilà. Comme promis, voici le rapport de ADW Cleaner : 

# AdwCleaner v2.200 - Rapport créé le 21/04/2013 à 16:29:54 
# Mis à jour le 02/04/2013 par Xplode 
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits) 
# Nom d'utilisateur : FRANCOISE - FRANCOISE-VAIO 
# Mode de démarrage : Normal 
# Exécuté depuis : C:\Temp\Toan\adwcleaner.exe 
# Option [Suppression] 


***** [Services] ***** 


***** [Fichiers / Dossiers] ***** 

Dossier Supprimé : C:\ProgramData\Partner 
Dossier Supprimé : C:\Users\FRANCO~1\AppData\Local\Temp\boost_interprocess 

***** [Registre] ***** 

Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit 
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6AC63E17-B56A-4A89-A130-EEFF78EBCE4D} 
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B} 
Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2445907 
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B} 

***** [Navigateurs] ***** 

-\ Internet Explorer v10.0.9200.16537 

[OK] Le registre ne contient aucune entrée illégitime. 

-\ Google Chrome v [Impossible d'obtenir la version] 

Fichier : C:\Users\FRANCOISE\AppData\Local\Google\Chrome\User Data\Default\Preferences 

[OK] Le fichier ne contient aucune entrée illégitime. 

************************* 

AdwCleaner[S1].txt - [1373 octets] - [21/04/2013 16:29:55] 

########## EOF - C:\AdwCleaner[S1].txt - [1433 octets] ##########


Merci !

g3n-h@ckm@n · Answer

ok tu referas un diag

GMV · Answer

Hello,

je viens de refaire un scan (Recherche d'ADW Cleaner) :

# AdwCleaner v2.200 - Rapport créé le 05/05/2013 à 16:01:37
# Mis à jour le 02/04/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : FRANCOISE - FRANCOISE-VAIO
# Mode de démarrage : Normal
# Exécuté depuis : C:\Temp\Toan\adwcleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****


***** [Navigateurs] *****

-\ Internet Explorer v10.0.9200.16537

[OK] Le registre ne contient aucune entrée illégitime.

-\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Users\FRANCOISE\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [787 octets] - [05/05/2013 16:01:37]
AdwCleaner[S1].txt - [1498 octets] - [21/04/2013 16:29:55]

########## EOF - C:\AdwCleaner[R1].txt - [906 octets] ##########


ca a l'air d'etre bien, non ?
faut-il un diag de Pre_scan ?

Merci

g3n-h@ckm@n · Answer

oui stp

GMV · Answer

Je m'en doutais :)
j'ai passé 1 diag et Pre_Scan est sorti directement, sans produire de fichier ...
j'ai ré-essayer, pareil, il sort  après 10-15 minutes sans fichier txt ...

g3n-h@ckm@n · Answer

dans c:\ ^^

GMV · Answer

désolé de répondre aussi tard, mais je n'ai pas eu accès au PC pendant un bon moment ...
Bref, voici le lien vers le fichier : https://www.luanagames.com/index.fr.html

g3n-h@ckm@n · Answer

d'accord tu peux le retelecharger , deux mois après , l'outil a grandement évolué

GMV · Answer

Bonjour,
J'ai denouveau accès au PC  après l'été.
J'ai téléchargé Pre_scan et lancé un diag dans la foulée :
https://www.luanagames.com/index.fr.html

a bientôt

g3n-h@ckm@n · Answer

re

desinstalle google toolbar => inutile
desinstalle tout java
desinstalle Incredimail si tu t'en sers pas
desinstalle adobe reader 9

=======

 sélectionne ce texte , puis CTRL + C

Kill::
All

Key::
[HKU\S-1-5-21-328534400-4470331-1103564269-1001\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{042D3BF7-C1F1-4393-8780-59FAD3D38B1A}]
[HKU\S-1-5-21-328534400-4470331-1103564269-1001\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2C6DFDDA-E57B-4864-8147-132E4C5F95DB}]
[HKU\S-1-5-21-328534400-4470331-1103564269-1001\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{ADB706C6-C4E6-4CDD-8FB3-0E3407293CF6}]
[HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\1601f15d-0bfb-4c29-8e79-a1850c9ff9b6] 
[HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\6316c65b-d52d-4af4-aa53-27934b309971]
[HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\6409f85f-1240-4375-90aa-f4e237fe518e]
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\1601f15d-0bfb-4c29-8e79-a1850c9ff9b6] 
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\6316c65b-d52d-4af4-aa53-27934b309971] 
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\6409f85f-1240-4375-90aa-f4e237fe518e] 
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}]
[HKCR\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}]      
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}] 
[HKCR\CLSID\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}]    
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]
[HKCR\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}] 
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}]
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}]
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]
[HKU\S-1-5-21-328534400-4470331-1103564269-1001\Software\Grand Virtual]     
[HKU\S-1-5-21-328534400-4470331-1103564269-1001\Software\SweetIM] 
[HKU\S-1-5-21-328534400-4470331-1103564269-1001\Software\WNLT]     
[HKU\S-1-5-21-328534400-4470331-1103564269-1001\Software\YahooPartnerToolbar]     
[HKLM\Software\Conduit]     
[HKLM\Software\SweetIM] 
[HKLM\Software\Wow6432Node\Conduit]     
[HKLM\Software\Wow6432Node\SweetIM] 
[HKLM\Software\Microsoft\windows\CurrentVersion\Uninstall\WNLT] 
[HKLM\Software\Wow6432Node\Microsoft\windows\CurrentVersion\Uninstall\WNLT]

File|Fold::
C:	est.xml 
C:\Users\FRANCOISE\AppData\Local\{*} 
C:\Program Files (x86)\Rogue 
C:\Program Files (x86)\sweetpacks bundle uninstaller 
C:\Program Files (x86)\SweetIM 
C:\Windows\System32\Tasks\{6E367B50-7B69-4974-98B7-E848A1F238B2}         
C:\Windows\System32\Tasks\{9C1B91D7-6ECB-4295-9034-8CAB2A1E8FB5}         
C:\Windows\System32\Tasks\CreateChoiceProcessTask         
C:\Windows\system32\dmwu.exe 
C:\Windows\system32\s000000.dat 

MBR::
yes

Clean::
yes

Reboot::
yes
 
Relance Pre_scan puis choisis l'option « Script« L'outil va travailler instantanément
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script_date_heure.txt qui apparaitra à la racine du disque systeme (généralement c:\) en fin de travail

GMV · Answer

Salut
je reviens sur ce PC

Le script de pre_scan n'a pas fourni de trace, je l'ai meme passé une 2e fois et sans + de succès.
J'ai donc téléchargé pre_scan et relancer un Diag : https://www.luanagames.com/index.fr.html

Merci
A+

TR/ATRAPS.Gen2

32 réponses

Discussions similaires