TR/ATRAPS.Gen2

GMV Messages postés 68 Statut Membre -  
GMV Messages postés 68 Statut Membre -
Bonjour,

Sur un PC de mon entourage, Avira signale que le fichier TR/ATRAPS.Gen2 a été trouvé (dans la corbeille => c:\$Recycle.Bin\ ...)

J'ai lancé un scan MBAM en cochant la suppression en fin de scan, voici le rapport
========================================
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.04.02.12

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
FRANCOISE :: FRANCOISE-VAIO [administrateur]

02/04/2013 21:22:03
mbam-log-2013-04-02 (21-22-03).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 395054
Temps écoulé: 1 heure(s), 37 minute(s), 27 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 6
C:\$Recycle.Bin\S-1-5-18\$e8be6939b273c2455db2cca970e18fe1\U\00000004.@ (Trojan.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-18\$e8be6939b273c2455db2cca970e18fe1\U\00000008.@ (Trojan.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-18\$e8be6939b273c2455db2cca970e18fe1\U\000000cb.@ (Trojan.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-18\$e8be6939b273c2455db2cca970e18fe1\U\80000000.@ (Trojan.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-18\$e8be6939b273c2455db2cca970e18fe1\U\80000032.@ (Trojan.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-18\$e8be6939b273c2455db2cca970e18fe1\U\80000064.@ (Trojan.0Access) -> Mis en quarantaine et supprimé avec succès.

(fin)
========================================

Malgré le reboot demandé, Avira détecte tjs un pb avec ce fichier et ne parvient pas a le supprimer (Accès refusé)

Pour gagner du temps, j'ai installé un ZHPDiag et j'ai lancé un scan mais j'ai du mal a deposer le rapport sur un site.
Je prefère poster tout de meme ce sujet pour vous demander de l'aide, et pendant ce temps , je me debrouille pour poster le rapport ZHPDiag.

Merci !
GMV

32 réponses

  • 1
  • 2
Résumé de la discussion

Le problème central est qu'un fichier signalé par Avira, TR/ATRAPS.Gen2, se trouve dans la corbeille et persiste après le nettoyage initial par Malwarebytes, malgré le redémarrage demandé. Des éléments de réponse essentiels indiquent que Malwarebytes a détecté et supprimé six fichiers dans la corbeille (Trojan.0Access), mais Avira continue de signaler le défaut et d’empêcher la suppression. Plusieurs réponses évoquent l’usage d’outils complémentaires comme RogueKiller, ZHPDiag et ADWCleaner, des difficultés pour déposer des rapports et la nécessité éventuelle de relancer les analyses ou de mettre à jour les outils. D'autres évoquent la relance du pré_scan et le partage des rapports via des liens d’hébergement, afin que les aides puissent interpréter les résultats et orienter les actions sans dépendre d’un site unique.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Salut désinstalle ZHPDiag

    =======================

    ▶ Télécharge ici : RogueKiller
    ▶ Enregistre et ferme tous les programmes en cours
    ▶ Lance RogueKiller et attend que le Prescan ait fini
    ▶ Accepte l'EULA puis clique sur Scan.
    ▶ Une fois terminé, clique sur Rapport et copie/colle le rapport dans ta prochaine réponse.
    0
  2. GMV Messages postés 68 Statut Membre
     
    Bonsoir Juju,

    Merci pour ta réponse rapide.
    j'ai bcp de mal à aller sur le site "sur la toile" pour récupérer RogueKiller. c'est deja sur ce meme site que j'essayais de deposer mon rapport ZHPDIAG
    Y a t il un autre site pour le télécharger ?
    Merci encore,
    0
  3. GMV Messages postés 68 Statut Membre
     
    En fait, cela semble venir du PC
    Je viens de le télécharger sur mon PC a moi et je l'ai transféré avec une clé USB
    (le 32 et le 64bit) sur le PC infecté
    Par contre, je ne parviens pas a les lancer.
    J'ai le message "Windows ne trouve pas le fichier ..."

    j'ai un peu de mal a comprendre ....
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    salut

    Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
    Attention !!! : cet outil peut etre détecté à tort comme virus
    Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

    tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

    Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

    telecharge et enregistre Pre_Scan sur ton bureau :

    http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html (renommé winlogon)

    ou , si le lien n'est pas fonctionnel :

    http://www.archive-host.com (renommé winlogon)
    http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)

    si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

    si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :

    http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
    http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
    http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut que des fenêtres noires clignotent , laisse-le travailler.

    l'outil va envoyer sur un serveur les virus qu'il a mis en quarantaine afin que je puisse l'ameliorer et etudier ces infections plus en profondeur.

    Laisse l'outil redemarrer ton pc.

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider
    0
  6. GMV Messages postés 68 Statut Membre
     
    ouh là, je ne comprends plus du tout.
    C'est RogueKiller que je dois lancer ou Prescan ?

    pour le moment, je viens d'uploader le rapport de ZHPDiag :
    https://www.luanagames.com/index.fr.html

    je vais tenter d'arreter Avira et le reste pour relancer RogueKiller
    0
  7. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    1) Beurk ZHPDiag, en plus le rapport n'est vraiment pas complet du tout et problème de charset, donc ZHPDiag tu le mets à la poubelle pour le moment, tu perds ton temps avec et il ne nous aidera pas pour le rootkit zeroaccess de toute manière.

    2) Oui, RogueKiller, et si tu as encore un message d'erreur :

    3) Tu télécharges et lance Pre_scan en prenant soin de désactiver Avira AVANT ;)
    0
  8. GMV Messages postés 68 Statut Membre
     
    ok, je fais ca demain matin, trop fatigué.
    Merci a demain
    0
  9. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    salut

    pre_scan semble avoir fait du bon boulot

    =============================

    ▶ Télécharge et installe Malwarebytes' Anti-Malware (MBAM).

    ▶ Exécute-le. Accepte la mise à jour.

    ▶ Sélectionne "Exécuter un examen complet"
    ▶ Clique sur "Rechercher"
    ▶ L'analyse démarre, le scan est relativement long, c'est normal.

    A la fin de l'analyse, un message s'affiche :

    Citation :

    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

    ▶ Clique donc sur Afficher les résultats.
    ▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le.

    Si MBAM demande à redémarrer le pc : ▶ fais-le.

    Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée.
    0
    1. GMV Messages postés 68 Statut Membre
       
      ok, MBAM tourne, moi trop fatigué pour attendre.

      Merci a demain
      0
  10. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    non en fait je parlais de relancer pre_scan , et qu'au menu à boutons qu'il va t'afficher , tu cliques sur diag , et que tu heberges le rapport pre_diag et que tu donnes le lien.
    0
  11. GMV Messages postés 68 Statut Membre
     
    hello,

    je vais relancer Pre_scan
    En attendant voici le rapport MBAM:

    Malwarebytes Anti-Malware 1.70.0.1100
    www.malwarebytes.org

    Version de la base de données: v2013.04.02.12

    Windows 7 Service Pack 1 x64 NTFS
    Internet Explorer 9.0.8112.16421
    FRANCOISE :: FRANCOISE-VAIO [administrateur]

    03/04/2013 22:11:00
    mbam-log-2013-04-03 (22-11-00).txt

    Type d'examen: Examen complet (C:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 386805
    Temps écoulé: 1 heure(s), 37 minute(s), 57 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    (fin)
    0
  12. GMV Messages postés 68 Statut Membre
     
    Désolé mais il n'y a pas de fichier pre_diag*.*
    j'ai fait une recherche sur *.txt, seul un fichier debug.txt a une date qui correspond a mon diag :
    [Rest_Reg_Tmgr_A]
    [Rest_Reg_Tmgr_B]
    [Stop_Proc]
    [List_sess]
    [Recup_List_File]
    [Recup_List_File_Doub]
    [Assoc_net]
    [Corr_Sys]
    [Header]
    [Head_sess]
    [Rest_P_A]
    [Rest_P_B]
    [Proc_Act_List]
    [Modif_winlgn]
    [Corr_SFB]
    [Del_Reg_IFEO]
    [Del_Reg_M2]
    [Param_svc]
    [Prx]
    [Param_IE]
    [Host]
    [Del_Recycl]
    [del_app_n]
    [Del_svchost]
    [Del_LM_SFT]
    [Del_Lm_M$]
    [Del_Reg_Rtk]
    [Del_win_*.ext]
    [Del_File_Rtk]
    [Del_comFile_ext]
    [Del_File_Reg_Tsk]
    [Del_Rog_Run4]
    [Del_File_lnk]
    [Del_File_rog32]
    [Del_Fold_appd]
    [Del_Fold_win]
    [Del_File_Hom_Ext_&_Ext]
    [Del_File_Hom_Ext_&_Ext]
    [Del_File_Hom_Ext_&_Ext]
    [Del_File_Hom_Ext_&_Ext]
    [Del_File_Hom_Ext_&_Ext]
    [Del_File_Hom_Ext_&_Ext]
    [Del_File_Hom_Ext_&_Ext]
    [Del_File_Hom_Ext_&_Ext]
    [Del_File_Hom_Ext_&_Ext]
    [Del_File_Hom_Ext_&_Ext]
    [Del_File_Hom_Ext_&_Ext]
    [Del_File_Hom_Ext_&_Ext]
    [Del_File_Hom_Ext_&_Ext]
    [Del_File_Hom_Ext_&_Ext]
    [Del_File_Hom_Ext_&_Ext]
    [Del_File_Hom_Ext_&_Ext]
    [Del_File_Hom_Ext_&_Ext]
    [Del_File_win_Ext_&_Ext]
    [Del_File_Rog_Date]
    [Del_File_Rog_ZA_List]
    [Del_File_Java_cache]
    [del_App_X]
    [del_mod_*]
    [Perm_Reg]
    [winlog_list]
    [FF_Pref]
    0
  13. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    non le debug n'est pas utile là...

    y'a un truc que tu dois pas faire bien ,je sais pas une sandbox que tu as reactivé ou .....une protection qui gène.....
    0
  14. GMV Messages postés 68 Statut Membre
     
    bon, je vais retenter ce WE.
    En attendant, vu que MBAM n'a rien signalé et qu'Avira ne sonne plus, j'ai rendu le PC a sa propriétaire qui en avait besoin.

    Par contre, Pre_Scan a mis pas mal de fichier en quarantaine. Puis je les supprimer ?

    quid de RogueKiller ?

    Merci !
    0
  15. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    fallait faire le menage final dans ce cas au minimum

    https://forums-fec.be/entraide/viewtopic.php?f=11&t=229
    0
  16. GMV Messages postés 68 Statut Membre
     
    ok je le ferai ce WE, je n'ai plus le PC avec moi
    je vous ferai un retour une fois que j'aurai passé le diag de pre_scan et effectué le nettoyage.

    Merci encore
    0
  17. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    ah ben si tu passes le diag de pre_scan , attends avbant de faire le menage y'aura certainement un script à faire
    0
  • 1
  • 2