Cheval de troie TR/ATRAPS.GEN [Résolu/Fermé]

Signaler
-
Messages postés
13404
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
-
Bonjour,

J'ai un problème, j'ai le cheval de troie TR/ATRAPS.GEN sur mon ordinateur, j'ai beau faire tourner mon anti virus avira antivir, mon logiciel anti malware et reg cleaner, j'ai toujours la fenêtre de mon anti virus pour ce cheval de troie qui revient.
Pourriez vous m'indiquer la démarche à suivre car ça fais déjà quelques semaines que j'essaye de faire ça toute seule mais là je craque, merci d'avance.



33 réponses

Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 243
bonjour

Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

(outil de diagnostic)

Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin pour vista )

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

Rend toi sur Cjoint : http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message


si soucis avec ci joint. fr

=> utiliser https://www.cjoint.com/
=> utiliser http://ww38.toofiles.com/fr/oip/documents/txt/av.html
Messages postés
13404
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 164
Bonsoir,

Pas d'affolements :)

On va jeter un oeil a ton pc :

Télécharge ZhpDiag de Nicolas Coolman .

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe(clic droit ,"éxécuter en tant qu'administrateur" pour Vista).

Une fois installé le programme s'ouvre automatiquement .

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur la "disquette" (enregistrer sous..) .

Rend toi sur ce site : http://www.cijoint.fr/index.php

Clique sur parcourir et sélectionne le fichier ZhpDiag.txt .

Un lien va etre créer ,poste ce lien dans ta prochaine réponse.
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 243
salut président

je te laisse la place, j'ai assez de travail

bonne chasse
Merci j'ai téléchargé le programme zhpdiag mais j'ai un message d'information qui apparait lors de l'analyse qui est le suivant :
Module O39 in overflow (99). Please contact Nicolas Coolman
L'analyse se bloque à 48%.
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 243
J'essaye de télécharger sur le nouveau lien que tu m'as donné mais ça tourne toujours depuis toute à l'heure et toujours pas de programme installé...
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 243
tu l'as bien enregistré sur le bureau avant de le lancer ?
Le logiciel est pas encore installé quand j'ai cliqué sur télécharger une autre fenêtre de téléchargement est apparue est là ça tourne depuis toute à l'heure donc j'ai pas encore pu l'enregistrer sur le bureau
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 243
Ton lien a marché cette fois ci, j'ai donc relancé mais toujours le même message d'erreur qui apparait ...
C'est bon l'analyse continue là je fais la suite dès que ça se termine
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 243
ok

utilises le bouton vert pour répondre stp
Messages postés
13404
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 164
Salut MDG (meme pas fait gaffe que tu avais posté...)

@feeeo: Si tu ne t'en sort pas avec ZhpDiag ,fait ceci a la place :

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

==>Double-clique sur RSIT.exe afin de lancer RSIT.

==>Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).

==>Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

==>Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront :

log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

NB : Les rapports sont sauvegardés dans le dossier C:\rsit

==>Rend toi sur ce site: http://www.cijoint.fr/index.php

==>Clique sur "parcourir" et sélectionne ces fichiers ,un lien va etre créer .

==>Copie/colle ce lien dans ta prochaine réponse .

Aide en images si besoin
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 243
(sourire)

si c'est bon

https://forums.commentcamarche.net/forum/affich-18952726-cheval-de-troie-tr-atraps-gen#11

tu vas avoir la réponse

bonne suite à vous
bon impossible de déposer le fichier, la fenêtre d'internet m'indique qu'elle ne peut afficher la page web
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 243
essaie ainsi

va sur https://www.cjoint.com/

avec le bouton PARCOURIR, tu navigues jusqu'au rapport ZHPdiag.txt (pas l'exe)

puis le bouton CREER LE LIEN

et ce lien tu le copie colle dans ta prochaine réponse
Merci Grace mais c'est encore le même problème, et maintenant J'ai une nouvelle fenêtre qui s'ouvre et que je n'arrive pas à fermer il s'agit de :
Environnement de développement Microsoft quand je veux l'a fermer j'ai ce message qui apparaît " une exception de type erreur d'éxecution Microsoft Jscript : permission refusée n'a pas pu être gérée "
Je viens de réussir à fermer la fenêtre " Environnement de développment Microsoft " on verra bien si celle ci apparaît de nouveau par contre je suis toujours bloquée pour pouvoir déposer mon fichier, tenez moi au courant quand vous pouvez merci d'avance
Messages postés
13404
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 164
Essaide déposer ton rapport sur un de ces sites d'hebergement
Ok Merci JFK je vais essayer plusieurs sites au pire je le déposerai demain s'il est trop tard Bonne fin de soirée et Merci encore ;-)
Messages postés
13404
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 164
Je regarde ça demain soir ,bonne nuit ...
Et voilà j'ai réussi le lien est ci dessous :

http://www.cijoint.fr/cjlink.php?file=cj201008/cij5MnL5fU.txt

Merci ;-)
Messages postés
13404
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 164
Plusieurs infections sur ton pc ...

Télécharges ComboFix à partir d'un de ces liens :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Et important, enregistre le sur le bureau.

Avant d'utiliser ComboFix :

? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
la protection en temps réel de ton Antivirus et de tes Antispywares,
qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.


Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
est automatiquement sauvegardé et rangé à C:\Combofix.txt)

? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
avant de te reconnecter à internet.

? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
Bonsoir,

Je ne sais pas si vous êtes dispo ce soir, j'attends de vos news suite à mon analyse que j'ai déposé.

Merci.
Voilà le rapport :

ComboFix 10-08-24.0C - Administrateur 25/08/2010 20:49:46.1.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.512.276 [GMT 2:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\52354363.exe
C:\52354363553.exe
c:\documents and settings\Administrateur\Recent\Thumbs.db
c:\recycler\S-1-5-21-9707034637-5135375578-501761909-8661\mwau.exe
C:\wow.exe

Une copie infectée de c:\windows\system32\drivers\ipsec.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty had a snack :p
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SSHNAS


((((((((((((((((((((((((((((( Fichiers créés du 2010-07-25 au 2010-08-25 ))))))))))))))))))))))))))))))))))))
.

2010-08-24 19:53 . 2010-08-24 19:56 -------- d-----w- c:\program files\ZHPDiag

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-25 19:07 . 2002-09-07 00:00 80856 ----a-w- c:\windows\system32\perfc00C.dat
2010-08-25 19:07 . 2002-09-07 00:00 500814 ----a-w- c:\windows\system32\perfh00C.dat
2010-08-25 02:05 . 2008-06-21 14:55 -------- d-----w- c:\program files\eMule
2010-08-23 21:42 . 2010-04-23 17:37 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
.
[code]<pre>
c:\program files\Fichiers communs\Nero\Lib\NeroCheck .exe
c:\program files\Fichiers communs\Nero\Lib\NMIndexStoreSvr .exe
c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier .exe
c:\program files\Java\jre1.6.0_07\bin\jusched .exe
c:\program files\Malwarebytes' Anti-Malware\mbam .exe
c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan .exe
c:\program files\Parallels\Parallels Tools\ParallelsToolsCenter .exe
c:\program files\Parallels\Parallels Tools\SIA\sharedintapp .exe
c:\program files\TomTom HOME 2\TomTomHOMERunner .exe
</pre>/code

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883856]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" [N/A]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-05-30 39408]
"TomTomHOME.exe"="c:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [N/A]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SharedInternetApplication"="c:\program files\Parallels\Parallels Tools\SIA\sharedintapp.exe" [N/A]
"NBKeyScan"="c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [N/A]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [N/A]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2008-4-5 110592]
McAfee Security Scan.lnk - c:\program files\McAfee Security Scan\1.0.150\SSScheduler.exe [2009-7-28 199184]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-1-20 65588]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\helpctr.exe"=

R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [20/04/2010 21:49 162768]
R1 PrlNP;PrlNP;c:\windows\system32\drivers\PRLFS.SYS [04/04/2008 22:17 138368]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [24/04/2010 15:27 108289]
R2 cohrence;Parallels Coherence Service;c:\program files\Parallels\Parallels Tools\cohrence.exe [04/04/2008 22:17 49250]
R2 k;k;c:\windows\system32\o.sys [23/04/2010 23:32 4736]
R2 PrlTime;Pilote de synchronisation de l'heure Parallels;c:\windows\system32\drivers\prltime.sys [04/04/2008 22:17 2550]
R2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [13/11/2009 13:31 92008]
R2 toolsrv;Parallels Tools Utility Service;c:\program files\Parallels\Parallels Tools\toolsrv.exe [04/04/2008 22:17 90112]
R3 PCITG;PCITG;c:\windows\system32\drivers\pcitg.sys [04/04/2008 22:17 15232]
R3 PrlMouse;Parallels Mouse Synchronization Tool;c:\windows\system32\drivers\PrlMouse.sys [04/04/2008 22:17 5373]
R3 PrlVideo;PrlVideo;c:\windows\system32\drivers\PrlVideo.sys [04/04/2008 22:17 105728]
S0 izmzrqxd;izmzrqxd; [x]
S2 aswFsBlk;aswFsBlk;aswFsBlk.sys --> aswFsBlk.sys [?]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [07/02/2010 07:07 135664]
S3 NtApm;Pilote d'interface NT APM/hérité;c:\windows\system32\drivers\NtApm.sys [05/04/2008 00:02 9472]
S3 prleth;Parallels Network Adapter;c:\windows\system32\drivers\prleth.sys [04/04/2008 22:17 6112]
.
Contenu du dossier 'Tâches planifiées'

2010-08-25 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-07 17:25]

2010-08-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-07 17:25]

2010-08-25 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2010-05-06 20:18]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = <local>
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
.
- - - - ORPHELINS SUPPRIMES - - - -

WebBrowser-{FD2FD708-1F6F-4B68-B141-C5778F0C19BB} - (no file)
AddRemove-{7B63B2922B174135AFC0E1377DD81EC2} - c:\program files\DivX\DivXCodecUninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-25 21:05
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(10116)
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Nero\Nero8\Nero BackItUp\NBService.exe
c:\windows\system32\IoctlSvc.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2010-08-25 21:11:16 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-08-25 19:11

Avant-CF: 4 257 341 440 octets libres
Après-CF: 4 234 838 016 octets libres

- - End Of File - - 0369626530E073F0E5C0BA74152ABA79