[Résolu] ATRAPS.Gen2

[Mathilde P]

C'est une version familiale.

 

Merci pour tout, mes paupières réclament leur lit.

 

A+

[Apollo]

Okay, okay, bonne nuit.

 

Il semble y avoir un problème pour télécharger le pack qui permet à CF d'installer la console; je dois chercher la raison..

 

En attendant d'y voir plus clair, je vais te laisser une procédure pour demain, sinon l'autre moyen pour installer la console est celui-ci: PC Astuces - Se préparer au pire

 

------------------------------------

Mais avant cela:

 

1) Télécharger SFT.exe de Pierre13. A enregistrer absolument sur le BUREAU!

 

• Double clique (xp) sur SFT.exe.
  Clic droit sur le fichier et choisir Exécuter en tant qu’administrateur. (sous Vista/7).
  Patienter le temps du nettoyage...dépend du nombre de fichiers à nettoyer.
   
  
   
  Un rapport va s'ouvrir à la fin.
   
  Le rapport se trouve sur le bureau (SFT.txt)

 

>>Le rapport est très long, l'héberger sur Accueil de Cjoint.com et me communiquer le lien, stp.<<

 

Compatible avec XP, Windows Vista et Windows 7 en 32 et 64 bits.

 

 

---------------------------

2) Télécharge Malwarebytes' Anti-Malware (MBAM).

 

Enregistre l'exécutable sur le bureau.

 

Télécharger Malwarebytes´ Anti-Malware - Logithèque PC Astuces

 

|MG| Malwarebytes Anti-Malware 1.62.0.1300 Download

 

http://www.malwarebytes.org/products/malwarebytes_free

 

Attention, ne rien installer d'autre que MBAM car il est parfois proposé des trucs inutiles comme Registry Booster ou autres bêtises. A éviter donc.

 

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

 

@++

[Mathilde P]

bonjour,

 

voici le lien pour SFT Lien CJoint.com BHrhbXC6YAN

 

Bonne journée.

[Mathilde P]

Re,

 

Voici le rapport MBAM (il m'a demandé le redémarrage)

 

Malwarebytes Anti-Malware (Essai) 1.62.0.1300

www.malwarebytes.org

 

Version de la base de données: v2012.08.17.02

 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

laurent :: D1LLN12J [administrateur]

 

Protection: Activé

 

17/08/2012 07:11:17

mbam-log-2012-08-17 (07-11-17).txt

 

Type d'examen: Examen complet (C:\|D:\|E:\|)

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 320732

Temps écoulé: 1 heure(s), 48 minute(s), 2 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 3

HKCR\CLSID\{4D25F926-B9FE-4682-BF72-8AB8210D6D75} (PUP.MyWebSearch) -> Aucune action effectuée.

HKCR\MyWaySearchAssistantDE.Auxiliary (Adware.MyWaySearch) -> Mis en quarantaine et supprimé avec succès.

HKCR\MyWaySearchAssistantDE.Auxiliary.1 (Adware.MyWaySearch) -> Mis en quarantaine et supprimé avec succès.

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 8

C:\Documents and Settings\laurent\Mes documents\Téléchargements\SoftonicDownloader_pour_free-mp3-wma-converter.exe (PUP.OfferBundler.ST) -> Aucune action effectuée.

C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP1731\A0107089.exe (PUP.Dealio.TB) -> Aucune action effectuée.

C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP1731\A0107091.exe (PUP.Dealio.TB) -> Aucune action effectuée.

C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP1731\A0107092.dll (PUP.Dealio.TB) -> Aucune action effectuée.

C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP1731\A0107093.dll (PUP.Dealio.TB) -> Aucune action effectuée.

C:\Qoobox\Quarantine\C\Documents and Settings\laurent\Local Settings\Application Data\{20291ac2-2068-3442-4139-a20c363c06d6}\n.vir (RootKit.0Access) -> Mis en quarantaine et supprimé avec succès.

C:\Qoobox\Quarantine\C\Documents and Settings\laurent\Local Settings\Application Data\{20291ac2-2068-3442-4139-a20c363c06d6}\U\[email protected] (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.

C:\Qoobox\Quarantine\C\WINDOWS\Installer\{20291ac2-2068-3442-4139-a20c363c06d6}\U\[email protected] (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.

 

(fin)

 

Avira Free Antivirus m'informe avoir mis en quarantaine aujourd'hui à 9H49 TR/FakeAV.avg, BDS/ZAccess.v, TR/ATRAPS.gen .....

 

c'est une impression ou ce n'est pas gagné ?

[Apollo]

Bonjour,

 

Le "guard" antivir ou un scanner complet a signalé cela?

 

Poste le rapport stp: http://forum.avira.com/wbb/index.php?page=Thread&postID=869535#post869535

 

Héberge-le si nécessaire.

 

NB: dans les paramètres d'analyse de MBAM, règle comme montré dans ma capture pour les PUP.

 

Bonne journée.

 

@++

Modifié le 17 août 2012 par Apollo

[Mathilde P]

re bonjour,

 

Ci-joint le lien pour le rapport avira

Lien CJoint.com BHrr5C0Ixuz

Merci

[Apollo]

Re bonjour,

 

Ah, il est fort lui pour trouver des choses qui ont été rendues inoffensives par ComboFix!

Car ce qu'il a trouvé, ce sont les fichiers qui se trouvaient dans la quarantaine de CF.

 

Je pense qu'il se taira lorsque tu auras désinstallé l'outil et viré ses dossiers.

 

Fais Démarrer/Exécuter copie-colle la commande suivante puis OK:

 

"%userprofile%\Bureau\combofix.exe" /u 

 

Ca désinstallera ComboFix, Supprimera les points de restauration système (qui sont infectés) et remettra les options de sécurité de Windows par défaut.

 

Supprimer les dossiers c:\Qoobox et c:\ComboFix s'ils étaient encore présents sur le C:\

Vider la corbeille.

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~

CureIt Dr.Web

Il ne nécessite pas d'installation.

 

Lance le fichier launch.exe après avoir désactivé ton antivirus résident.

Il va te demander de faire la mise à jour

Une fois celle-ci effectuée, il va lancer un scan rapide.

Quand tout ceci est terminé, tu choisis scan complet.

A la fin du scan, tu mets tout en quarantaine et tu postes le rapport.

Comme il sera assez conséquent, héberge-le sur Cjoint comme indiqué sur ce tutoriel

 

NB: Ne copie que la fin du rapport où sont consignées les détections éventuelles et les actions entreprises, ceci afin de ne pas devoir uploader un fichier de 30 Mo.

 

@ + tard.

[Mathilde P]

Re,

 

j'ai copié/collé cette commande dans executer "%userprofile%\Bureau\combofix.exe" /u.

ComboFix s'éxécute alors comme hier (mal, avec des "choses du genre antivir détecté, console ininstallable " et plantage du PC lors de la création du rapport, que je ne trouve pas).

L'explorateur Windows m'indique sous Poste de Travail l'existence d'un dossier Combofix sous lequel je trouve le disque local C, lecteur DVD D, disque amovible E, panneau de configuration, documents partagé et document de ma session.

Je retrouve ce dossier sous C ?

Sur le bureau j'ai toujours ComboFixNSISInstaller et le dossier ComboFix ?

 

Est ce normal docteur ?

 

Merci pour votre patience et disponibilité

[Apollo]

Bon on va procéder autrement alors.

 

Désinstaller les outils spéciaux.

 

Télécharge DelFix sur ton bureau. Téléchargements - Outils de Xplode - DelFix

Lance-le et appuie sur le bouton [suppression]

Copie tout le contenu du texte qui s'ouvre et colle-le dans ta réponse.

 

Note : Le rapport est sauvegardé sous C:\DelFixSuppr.txt

 

Ne désinstalle pas Delfix tout de suite, il pourrait encore servir.

 

@++

[Mathilde P]

Voili voilou (il reste le dossier Combofix sur le bureau, ComboFixNSISInstaller a disparu).

 

# DelFix v8.9 - Rapport créé le 17/08/2012 à 19:38:14

# Mis à jour le 27/07/12 par Xplode

# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)

# Nom d'utilisateur : laurent - D1LLN12J (Administrateur)

# Exécuté depuis : C:\Documents and Settings\laurent\Mes documents\Téléchargements\delfix.exe

# Option [suppression]

 

 

~~~~~~ Dossiers(s) ~~~~~~

 

Supprimé : C:\Qoobox

Supprimé : C:\Combofix

Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Hijackthis

Supprimé : C:\Documents and Settings\laurent\Bureau\RK_Quarantine

Supprimé : C:\Program Files\Trend Micro\Hijackthis

 

~~~~~~ Fichier(s) ~~~~~~

 

Supprimé : C:\AdwCleaner[s1].txt

Supprimé : C:\TDSSKiller.2.8.6.0_17.08.2012_00.06.37_log.txt

Supprimé : C:\TDSSKiller.2.8.6.0_17.08.2012_00.22.59_log.txt

Supprimé : C:\Documents and Settings\laurent\Bureau\adwcleaner.exe

Supprimé : C:\Documents and Settings\laurent\Bureau\combofix.exe

Supprimé : C:\Documents and Settings\laurent\Bureau\HijackThis.lnk

Supprimé : C:\Documents and Settings\laurent\Bureau\hijackthis.log

Supprimé : C:\Documents and Settings\laurent\Bureau\RKreport[1].txt

Supprimé : C:\Documents and Settings\laurent\Bureau\RKreport[2].txt

Supprimé : C:\Documents and Settings\laurent\Bureau\RogueKiller.exe

Supprimé : C:\Documents and Settings\laurent\Bureau\tdsskiller.exe

Supprimé : C:\Documents and Settings\laurent\Bureau\TDSSKiller.txt

Supprimé : C:\Documents and Settings\laurent\Mes documents\Téléchargements\HijackThis.exe

Supprimé : C:\Documents and Settings\laurent\Mes documents\Téléchargements\HJTInstall.exe

Supprimé : C:\WINDOWS\grep.exe

Supprimé : C:\WINDOWS\PEV.exe

Supprimé : C:\WINDOWS\NIRCMD.exe

Supprimé : C:\WINDOWS\MBR.exe

Supprimé : C:\WINDOWS\SED.exe

Supprimé : C:\WINDOWS\SWREG.exe

Supprimé : C:\WINDOWS\SWSC.exe

Supprimé : C:\WINDOWS\SWXCACLS.exe

Supprimé : C:\WINDOWS\Zip.exe

 

~~~~~~ Registre ~~~~~~

 

Clé Supprimée : HKCU\console_combofixbackup

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\HijackThis

Clé Supprimée : HKLM\SOFTWARE\AdwCleaner

Clé Supprimée : HKLM\SOFTWARE\Swearware

Clé Supprimée : HKLM\SOFTWARE\TrendMicro\Hijackthis

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Hijackthis

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart

Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys

Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart

Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys

 

~~~~~~ Autres ~~~~~~

 

-> Prefetch Vidé

 

*************************

 

DelFix[s1].txt - [2906 octets] - [17/08/2012 19:38:14]

 

########## EOF - C:\DelFix[s1].txt - [3030 octets] ##########

 

A bientôt.