Votre question
Résolu

Schéma de type TR/ATRAP détecté par Avira et fichier tmp.exe

Tags :
  • Windows 10
  • Adware
  • Sécurité
Dernière réponse : dans Sécurité et virus
15 Février 2017 17:35:54

Bonjour,
mon épouse a reçu son nouveau PC que j'ai configuré.
Ce PC portable est sous Windows 10 et possède un unique disque dur SSD.
Ayant perdu le CD de réinstall de Money 2004 j'ai tenté de le télécharger sur le Net et bien mal m'en a pris !!!
Je n'ai pas réussi à télécharger ma version de Money mais depuis cette tentative, je pense que j'ai bêtement infecté son PC :
L'antivirus AVIRA met régulièrement des fichiers de type ***TMP.exe en quarantaine et l'utilitaire Luke Filewalker se met en branle régulièrement et arrive à bloquer le fonctionnement normal du système. Par ailleurs, nous rencontrons régulièrement des difficultés pour éteindre le système (il ne s'éteint pas !!!).
Les alertes AVIRA indiquent : schéma de type TR/ATRAP détecté mais il ne l'éradique pas.
Je pense que c'est un trojan.
J'ai lancé un scan de la machine avec AdwCleaner, celui-ci me détecte une vingtaine d'infections, les supprime, mais elles reviennent régulièrement.
Dans les services démarrés je vois régulièrement des fichiers ***TMP.exe qui, apparemment, se trouvent stockés dans C:/WIndows/Temp/
On a beau les supprimer, ils reviennent sous un autre nom.
Je vous remercie par avance de bien vouloir m'aider à nettoyer son PC, en plus c'est son outil de travail :( 

Autres pages sur : schema type atrap detecte avira fichier tmp exe

a b 8 Sécurité
15 Février 2017 18:46:58

Bonjour Davidu74,

Pour commencer vous allez faire un diagnostic de votre ordinateur.

Télécharger sur votre Bureau << IMPORTANT pas ailleurs
Selon votre système exploitation 32 Bit ou 64 Bits Mon ordinateur exécute-t-il la version 32 ou 64 ?bits
Farbar Recovery Scan Tool pour systèmes x32 (x86)
Farbar Recovery Scan Tool Pour systèmes x64

    Ferme toutes les applications en cours (notamment votre navigateur)
  • Faites un clique droit sur le fichier téléchargé (FRST.exe) et choisissez Exécuter en tant qu'administrateur
  • puis cliquez sur 'Exécuter' lors de l'Avertissement de sécurité - Fichier ouvert.
    Quand l'outil démarre, cliquez sur Oui si vous acceptez les termes de la fenêtre Disclaimer (clause de non-responsabilité).

  • Cochez les cases comme sur la capture
  • Cliquez sur le bouton ANALYSE.
  • L'outil va créer un fichier rapport [log] nommé FRST.txt situé dans le dossier depuis lequel l'outil s'exécute.
  • La première fois où l'outil est exécuté, il crée un autre rapport nommé Addition.txt - situé également dans le même dossier que FRST.exe.
  • Héberge les rapports sur le site ce service de rapport en ligne
    Appuyez sur Parcourir et chercher les rapports sur le bureau
  • Cliquez sur Ouvrir
  • Cliquez sur ENVOI,
    Puis copie/colle les liens fourni ICI dans votre prochaine réponse.

    m
    0
    l
    Contenus similaires
    a b 8 Sécurité
    16 Février 2017 01:55:59

    Bonjour Davidu74,

    IMPORTANT Déplace l'outil FRST sur ton BUREAU << il est actuellement dans le dossier Téléchargements.

    L'antivirus Avira semble corrompu je t'invite a le désinstaller pour le moment.
    Utilise celui de windows 10 Windows Defender tu verra par la suite si tu veux télécharger de nouveau avira et le réinstaller.

    Désinstalle via Panneau de configuration >> programmes et fonctionnalités (si présents) :
    Avira Antivirus
    Avira Connect
    Avira Phantom VPN
    Avira System Speedup

    Attention de bien lire les procédures jusqu'au bout et entièrement, et ne pas hésiter à demander en cas de doute.:) 
    Ne passez qu'une seule fois les outils

    • Vous allez faire une correction Farbar Recovery Scan Tool
    • Ouvrez le Bloc-notes (notepad).
    • Copiez le contenu de la zone code ci-dessous.
    • Pour ce faire, sélectionnez toutes les lignes, de start jusqu'a end
    • faites un clique droit et choisis Copier.
    • Collez ceci dans la fenêtre ouverte du Bloc-notes.
    • Dans la page du Bloc-notes Clique en haut sur Fichier >> puis enregistrer sous
    • Sur la nouvelle page
    • Fait le choix de bureau >> dans la fenêtre Nom du fichier
    • Tape le nom fixlist.txt et clique sur Enregistrer le fichier.
    • Le fichier ce trouve maintenant sur le bureau
      start
      CreateRestorePoint:
      CloseProcesses:
      Hosts:
      RemoveProxy:
      EmptyTemp:
      HKLM\...\RunOnce: [wd] => C:\Windows\Temp\g4861.tmp.exe [248320 2017-02-14] () <===== ATTENTION
      HKU\S-1-5-21-1335004211-3760485688-984863341-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://im.loadblanks.ru/c/b26cdff542ee7ff6?
      SearchScopes: HKU\S-1-5-21-1335004211-3760485688-984863341-1001 -> DefaultScope {5E7C2376-DB7B-434D-B2DA-21857450578B} URL =
      SearchScopes: HKU\S-1-5-21-1335004211-3760485688-984863341-1001 -> {5E7C2376-DB7B-434D-B2DA-21857450578B} URL =
      BHO-x32: Pas de nom -> {549B5CA7-4A86-11D7-A4DF-000874180BB3} -> Pas de fichier
      CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
      2017-02-13 21:03 - 2017-02-13 21:03 - 00016820 _____ C:\Windows\System32\Tasks\4816E57F8d1616-dll
      2017-02-13 20:54 - 2017-02-13 20:54 - 00016812 _____ C:\Windows\System32\Tasks\4816E57F8d1616
      2017-02-13 20:54 - 2017-02-13 20:54 - 00000000 ___HD C:\ProgramData\4816E57F8d1616
      2017-02-13 20:34 - 2017-02-13 20:34 - 00016818 _____ C:\Windows\System32\Tasks\8709E35F33d8338
      2017-02-13 20:33 - 2017-02-13 20:34 - 00000000 ___HD C:\ProgramData\6106E36F10d214
      2017-02-13 20:33 - 2017-02-13 20:33 - 00016812 _____ C:\Windows\System32\Tasks\6106E36F10d214
      2017-02-12 20:21 - 2017-02-13 20:33 - 00000000 ___HD C:\ProgramData\9526l47A80c9378
      2017-02-12 20:21 - 2017-02-12 20:21 - 00016818 _____ C:\Windows\System32\Tasks\9526l47A80c9378
      2017-02-12 20:17 - 2017-02-12 20:17 - 06782976 _____ C:\Users\Stéphanie RENARD\Downloads\MS_Money_2004.iso
      2016-11-27 00:56 - 2016-11-27 00:57 - 0000106 _____ () C:\ProgramData\{2A87D48D-3FDF-41fd-97CD-A1E370EFFFE2}.log
      2016-11-27 00:57 - 2016-11-27 00:58 - 0000110 _____ () C:\ProgramData\{B7A0CE06-068E-11D6-97FD-0050BACBF861}.log
      2016-11-27 00:58 - 2016-11-27 00:58 - 0000115 _____ () C:\ProgramData\{D6E853EC-8960-4D44-AF03-7361BB93227C}.log
      Task: {03DE54C8-3804-4486-AC4F-A572484C5429} - System32\Tasks\4816E57F8d1616 => Rundll32.exe "C:\ProgramData\4816E57F8d1616\4816E57F8d1616.dll",EFdyLaQ <==== ATTENTION
      Task: {460B33C8-948E-474C-8393-63F43B9B519B} - System32\Tasks\antivirus\updrgui => Rundll32.exe "C:\ProgramData\4816E57F8d1616\4816E57F8d1616.dll",EFdyLaQ
      Task: {4D85F559-135C-44C3-A130-1CA11D82D64E} - System32\Tasks\8709E35F33d8338 => Rundll32.exe "C:\ProgramData\8709E35F33d8338\8709E35F33d8338.dll",EFdyLaQ <==== ATTENTION
      Task: {5C06F3A7-2198-45A0-A1C4-F46A8F517AF0} - System32\Tasks\launcher\avira => Rundll32.exe "C:\ProgramData\4816E57F8d1616\4816E57F8d1616.dll",EFdyLaQ
      Task: {834CE9BB-1130-4A29-978D-D1B8943ADE44} - \system speedup\avira-systemspeedup-core-common-starter -> Pas de fichier <==== ATTENTION
      Task: {88B5AEB7-4CAA-4870-816B-CD8E773C953C} - System32\Tasks\Avira\System Speedup\Delayed Startup\Stéphanie RENARD\3 => C:\Program Files (x86)\Microsoft Money\System\mnyexpr.exe [2003-06-18] (Microsoft Corp.) <==== ATTENTION
      Task: {8BEC2241-0135-4C41-93F4-28BD03383A50} - System32\Tasks\acrobat reader dc\reader\acrocef\rdrcef => Rundll32.exe "C:\ProgramData\4816E57F8d1616\4816E57F8d1616.dll",EFdyLaQ
      Task: {90118441-1829-4F8B-A8D4-8084147E21F4} - System32\Tasks\Avira\System Speedup\Delayed Startup\Stéphanie RENARD\1 => C:\Program Files\HP\HP ENVY 5640 series\Bin\ScanToPCActivationApp.exe [2016-11-04] (HP Inc.) <==== ATTENTION
      Task: {9393B46D-7798-41D7-9709-CC6363F79689} - \system speedup\avira-systemspeedup-ui-application -> Pas de fichier <==== ATTENTION
      Task: {D9F0C904-3A6D-405A-9295-ABBD620A044E} - System32\Tasks\9526l47A80c9378 => Rundll32.exe "C:\ProgramData\9526l47A80c9378\9526l47A80c9378.dll",lAcqxFh <==== ATTENTION
      Task: {EAFD491E-2DD4-4325-B5F6-60C217F07FB7} - System32\Tasks\6106E36F10d214 => Rundll32.exe "C:\ProgramData\6106E36F10d214\6106E36F10d214.dll",EFdyLaQ <==== ATTENTION
      2017-02-13 20:54 - 2014-03-22 17:57 - 03052544 _____ () C:\ProgramData\4816E57F8d1616\4816E57F8d1616.dll
      2017-02-13 13:48 - 2017-02-14 20:50 - 00248320 ____N () C:\Windows\Temp\g4861.tmp.exe
      cmd: ipconfig /flushdns
      end

      NOTE. Il est important que les deux ,L'outil FRST et le fichier fixlist.txt se trouvent dans le même emplacement, sur le bureau sinon la correction ne fonctionnera pas.

      NOTICE: Ces lignes ont été écrites spécialement pour cet utilisateur,
      pour être utilisées exclusivement sur ce PC. Exécuter ces instructions sur une autre machine pourrait endommager le système d'exploitation.


      Exécutez FRST,
    • cliquez une seule fois sur le bouton Corriger et attendez.
      Si, pour une raison quelconque, l'outil a besoin d'un redémarrage, laissez le système redémarrer normalement.
    • Ensuite laissez l'outil terminer son travail.
      Quand il a fini, FRST va créer un rapport placé sur le Bureau (Fixlog.txt).
    • Héberge le rapport présent sur ton bureau sur le site ,ce service de rapport en ligne
      Puis copie/colle le lien fourni dans ta prochaine réponse.


    • Téléchargez Malwarebytes Anti-Malware et enregistrez-le sur le Bureau.
    • Double-clique sur le fichier mbam-setup.exe pour lancer l'installation
      pour vista/W7/W8/10 clique-droit > exécuter en tant qu'administrateur
    • A la fin de l'installation,
    • Clique sur Terminer. Malwarebyte's s'ouvre
    • Lancer l'examen >> Analyse Maintenant
    • Quand l'examen est terminé, si des éléments ont été détectés,,
    • cliquez sur Appliquer les actions
      Pour laisser MBAM nettoyer ce qui a été détecté.
    • Si un redémarrage est demandé, clique sur Yes.
    • Attendez l'affichage du message vous invitant à faire redémarrer le PC, puis cliquez sur Oui.
    • Après le redémarrage, quand vous êtes de retour sur le Bureau, ouvrez de nouveau MBAM.
    • Cliquez sur l'onglet Comptes-rendus .
    • Faites un double clique sur comptre-rendu d'analyse qui vient d'être effectuée.
    • Cliquez sur Afficher Exporter.
    • Cliquez sur Fichier texte (*.txt)
    • Dans la boîte de dialogue 'Enregistrer le fichier' qui s'est ouverte, cliquez sur le Bureau.
    • Dans la zone Nom du fichier: saisissez un nom pour votre journal d'examen.
    • Une boîte de message intitulée Fichier enregistré doit apparaître et vous annoncer que "Votre fichier a été exporté avec succès".
    • Cliquez sur OK
    • Hébergez le contenu du rapport sur le site ce service de rapport en ligne
      Puis copie/colle le lien fourni dans votre prochaine réponse.
      Tutoriel Malwarebytes en images


    • Télécharger Junkware Removal Tool par Thisisu sur le bureau
      Désactivez vos protections: antivirus, ... Ferme toutes les applications en cours (notamment votre navigateur)
    • Pour Vista/7/8/10, clique droit sur l'icône JRT exécuter en tant qu'administrateur.
      Une fenêtre va s'ouvrir, appuie sur une touche pour continuer...
      Le scanne va ce lancer.
      Au message The scan completed successfully
      Attendre l'affichage du rapport il sera enregistré sur le bureau
    • Héberge le rapport sur le site site d'hébergement de fichiers
      puis copie/colle le lien fourni dans ta prochaine réponse.
      importante
      Ne pas relancer l'outil une seconde fois sinon le rapport sera écrasé par un nouveau


    • Télécharge ZHPCleaner de Nicolas Coolman sur votre bureau.
      Désactivez vos protections: antivirus, ... Ferme toutes les applications en cours (notamment votre navigateur)
      Fais un double clique sur l'icône pour le lancer
      Sous Windows Vista / 7 / 8 /10(clique-droit > exécuter en tant qu'administrateur
      Accepte "les conditions d'utilisation"

    • Cliquer sur scanner
      Lorsque le scan est terminé
    • Clique sur Nettoyer
      L'interface de réparation s'affiche sous forme d'onglets où sont listés les éléments détectés. Tous les éléments sont sélectionnés par défaut.
    • Cliquer sur Nettoyer pour lancer la suppression des éléments détectés
      Si un redémarrage est nécessaire pour compléter le nettoyage, cliquer sur OK et redémarrer le système
      Au redémarrage, le rapport de nettoyage ZHPCleaner.txt s'affiche.
      Héberge le rapport ZHPCleaner.txt sur le site ce service de rapport en ligne
      Puis copier/coller le lien fourni dans votre prochaine réponse.
      Tutoriel ZHPCleaner
    m
    0
    l
    16 Février 2017 11:07:14

    Bonjour tomtom95 et merci encore.
    J'ai effectué une partie du travail ce matin, je continuerai ce soir notamment pour poster les logs (ce sera peut-être assez tard).
    J'ai désinstallé Avira et ses composants, c'est d'ailleurs surprenant qu'il soit corrompu car je l'ai téléchargé sur leur site.

    A ce soir pour la suite.
    m
    0
    l
    a b 8 Sécurité
    16 Février 2017 14:06:34

    Bonjour,

    Ce que décris l'antivirus Avira (TR/ATRAPS.Gen) c'est assez générique comme nom .
    Il y a différentes variantes (famille) de Trojan qui peut effectuer des modifications indésirables sur le système.
    On verra ce que va donner le nettoyage avec les outils.

    A plus.
    m
    0
    l

    Meilleure solution

    a b 8 Sécurité
    16 Février 2017 23:49:50

    Bonsoir,

    Très bien bonne nouvelle oui tu peux activer l'antivirus Windows Defender :) 
    ou si tu veux réinstaller Avira >> https://www.avira.com/fr/download/product/avira-free-an... clique sur le deuxième de la liste Fichiers d’installation avira antivirus le reste n'est pas nécessaire.
    Nous allons pouvoir terminer la procédure plus quelques conseils

      Vous allez supprimer les outils et Important purger la restauration.
      Téléchargez DelFix (de Xplode) sur ton Bureau

    • Cochez les cases :
      supprimer les outils de désinfection
      Purger la restauration système
    • Validez sur Exécuter
    • Laissez travailler l'outil
      Un rapport s'ouvre Copie/colle le rapport obtenu
      Delfix ce supprime automatiquement
      Le rapport ce trouve aussi sur a la base du lecteur C\Defix.txt
    • Hébergez le rapport Defix.txt sur le site ce site d'hébergement de fichiers
      Puis copier/coller le lien fourni dans votre prochaine réponse.


  • Quelques conseils et préventions:
    D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant
    Toujours privilégier le téléchargement d'une application sur le site de l'éditeur
    Bien lire les accords de licence avant toute installation.
    Prend quelques instants pour lire,
    Lisez d'abord cliquez après !!!

    Attention Les sites de téléchargements qui repackent
    Des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel gratuit en général ou via certains sites de téléchargement comme Softonic ou 01Net..
    L'éditeur touche de l'argent à chaque installation réussie de ces programmes additionnels (un genre de sponsoring),
    Votre PC se retrouve avec des programmes ou barres d'outils qui ralentissent le navigateur ou des adwares qui ouvrent des popups de publicités.
    Lire Les PUPs/LPIs
    De plus, elles enregistrent les sites que tu visites pour les transmettre (tracking) à faire de la publicité ciblée, c'est pas super niveau protection de la vie privée.

    LireSécuriser son ordinateur et connaître les menaces

    Il est important de tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
    Sauvegarder régulièrement les données personnelles sur un support externe.
    Vérifier aussi d'avoir toujours la dernière version de Java et Flash Player.(Si présent sur le PC)
    Avec l'outil SX Check&Update de igor51
    De maintenir son antivirus à jour et analyser le système régulièrement, même chose avec un scan avec Malwarebytes Anti-Malware

    Au niveau de Firefox et Chrome vous pouvez sécuriser votre navigation
    Firefox
    Chrome

    Divers Tutoriels Windows 10

    Après le rapport de l'outil Delfix Marque ton sujet comme résolu.
    Clique, dans mon dernier message , sur le bouton "Sélectionner comme meilleure solution"
    partage
    17 Février 2017 06:24:44

    Mille merci tomtom95 !!! :) 

    Voici le fichier delfix : https://up.security-x.fr/file.php?h=R575d84b3937183410f...

    Si je ne peux pas activer Windows Defender (problèmes de stratégie de groupe apparemment) je téléchargerai ta version d'Avira.

    Bonne journée et bon week-end !!!
    ;-)
    m
    0
    l
    a b 8 Sécurité
    17 Février 2017 11:55:45

    Bonjour Davidu74,

    C'est OK pour Delfix.:) 
    Pour réactiver Windows Defender va dans le gestionnaire des services.
    Tape dans Recherche de windows services.msc valide avec Entrée
    Ou tape sur les touches windows + R dans la fenêtre exécuter tape services.msc valide avec OK

    Recherche le service Windows Defender double clique dessus
    Dans la fenêtre mettre en Automatique et clique sur Démarrer
    Clique sur Appliquer et ok Redémarre le pc pour valide les modifications.
    Tutoriel et Guide Windows Defender

    Prudence sur le net et dans tes téléchargements.
    Bonne continuation.
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS