cheval de troie TR/ATRAPS.GENRésolu/Fermé

Question

Bonjour, 

J'ai un problème, j'ai le cheval de troie TR/ATRAPS.GEN sur mon ordinateur, j'ai beau faire tourner mon anti virus avira antivir, mon logiciel anti malware et reg cleaner, j'ai toujours la fenêtre de mon anti virus pour ce cheval de troie qui revient.
Pourriez vous m'indiquer la démarche à suivre car ça fais déjà quelques semaines que j'essaye de faire ça toute seule mais là je craque, merci d'avance.



Configuration: Windows XP / Internet Explorer 7.0

moment de grace · Answer

bonjour

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

(outil de diagnostic)

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin pour vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message


si soucis avec ci joint. fr 

=> utiliser https://www.cjoint.com/
=>  utiliser http://ww38.toofiles.com/fr/oip/documents/txt/av.html

jfkpresident · Answer

Bonsoir,

Pas d'affolements :)

On va jeter un oeil a ton pc :

  Télécharge ZhpDiag de Nicolas Coolman .
  
    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe(clic droit ,"éxécuter en tant qu'administrateur" pour Vista).

    Une fois installé le programme s'ouvre automatiquement .

    Clique sur la loupe pour lancer l'analyse.

    A la fin de l'analyse, clique sur la "disquette" (enregistrer sous..) .

    Rend toi sur ce site : http://www.cijoint.fr/index.php
     
    Clique sur parcourir et sélectionne le fichier ZhpDiag.txt .

    Un lien va etre créer ,poste ce lien dans ta prochaine réponse.

feeeo · Answer

J'essaye de télécharger sur le nouveau lien que tu m'as donné mais ça tourne toujours depuis toute à l'heure et toujours pas de programme installé...

moment de grace · Answer

tu l'as bien enregistré sur le bureau avant de le lancer ?

feeeo · Answer

Le logiciel est pas encore installé quand j'ai cliqué sur télécharger une autre fenêtre de téléchargement est apparue est là ça tourne depuis toute à l'heure donc j'ai pas encore pu l'enregistrer sur le bureau

moment de grace · Answer

prends le là

http://sd-2.archive-host.com/membres/up/135518691112296573/ZHPDiag_126.exe

feeeo · Answer

Ton lien a marché cette fois ci, j'ai donc relancé mais toujours le même message d'erreur qui apparait ...

feeeo · Answer

C'est bon l'analyse continue là je fais la suite dès que ça se termine

moment de grace · Answer

ok

utilises le bouton vert pour répondre stp

jfkpresident · Answer

Salut MDG (meme pas fait gaffe que tu avais posté...) @feeeo: Si tu ne t'en sort pas avec ZhpDiag ,fait ceci a la place : Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. ==>Double-clique sur RSIT.exe afin de lancer RSIT. ==>Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions). ==>Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. ==>Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront : log.txt (<Rend toi sur ce site: http://www.cijoint.fr/index.php ==>Clique sur "parcourir" et sélectionne ces fichiers ,un lien va etre créer . ==>Copie/colle ce lien dans ta prochaine réponse . Aide en images si besoin

feeeo · Answer

bon impossible de déposer le fichier, la fenêtre d'internet m'indique qu'elle ne peut afficher la page web

moment de grace · Answer

essaie ainsi

va sur https://www.cjoint.com/ 

avec le bouton PARCOURIR, tu navigues jusqu'au rapport ZHPdiag.txt  (pas l'exe) 

puis le bouton CREER LE LIEN 

et ce lien tu le copie colle dans ta prochaine réponse

feeeo · Answer

Merci Grace mais c'est encore le même problème, et maintenant J'ai une nouvelle fenêtre qui s'ouvre et que je n'arrive pas à fermer il s'agit de :
Environnement de développement Microsoft quand je veux l'a fermer j'ai ce message qui apparaît " une exception de type erreur d'éxecution Microsoft Jscript : permission refusée n'a pas pu être gérée "

feeeo · Answer

Je viens de réussir à fermer la fenêtre " Environnement de développment Microsoft " on verra bien si celle ci apparaît de nouveau par contre je suis toujours bloquée pour pouvoir déposer mon fichier, tenez moi au courant quand vous pouvez merci d'avance

jfkpresident · Answer

Essaide déposer ton rapport sur un de ces sites d'hebergement

feeeo · Answer

Ok Merci JFK je vais essayer plusieurs sites au pire je le déposerai demain s'il est trop tard Bonne fin de soirée et Merci encore ;-)

feeeo · Answer

Et voilà j'ai réussi le lien est ci dessous :

http://www.cijoint.fr/cjlink.php?file=cj201008/cij5MnL5fU.txt

Merci ;-)

feeeo · Answer

Bonsoir,

Je ne sais pas si vous êtes dispo ce soir, j'attends de vos news suite à mon analyse que j'ai déposé.

Merci.

jfkpresident · Answer

Plusieurs infections sur ton pc ...

Télécharges ComboFix à partir d'un de ces liens :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Et important, enregistre le sur le bureau.

Avant d'utiliser ComboFix :

? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
la protection en temps réel de ton Antivirus et de tes Antispywares,
qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.


Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
est automatiquement sauvegardé et rangé à C:\Combofix.txt)

? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
avant de te reconnecter à internet.

? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

feeeo · Answer

Voilà le rapport : ComboFix 10-08-24.0C - Administrateur 25/08/2010 20:49:46.1.1 - x86 Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.512.276 [GMT 2:00] Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7} AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !! . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\52354363.exe C:\52354363553.exe c:\documents and settings\Administrateur\Recent\Thumbs.db c: ecycler\S-1-5-21-9707034637-5135375578-501761909-8661\mwau.exe C:\wow.exe Une copie infectée de c:\windows\system32\drivers\ipsec.sys a été trouvée et désinfectée Copie restaurée à partir de - Kitty had a snack :p . ((((((((((((((((((((((((((((((((((((((( Pilotes/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_SSHNAS ((((((((((((((((((((((((((((( Fichiers créés du 2010-07-25 au 2010-08-25 )))))))))))))))))))))))))))))))))))) . 2010-08-24 19:53 . 2010-08-24 19:56 -------- d-----w- c:\program files\ZHPDiag . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2010-08-25 19:07 . 2002-09-07 00:00 80856 ----a-w- c:\windows\system32\perfc00C.dat 2010-08-25 19:07 . 2002-09-07 00:00 500814 ----a-w- c:\windows\system32\perfh00C.dat 2010-08-25 02:05 . 2008-06-21 14:55 -------- d-----w- c:\program files\eMule 2010-08-23 21:42 . 2010-04-23 17:37 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware . [code]

c:\program files\Fichiers communs\Nero\Lib\NeroCheck .exe
c:\program files\Fichiers communs\Nero\Lib\NMIndexStoreSvr .exe
c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier .exe
c:\program files\Java\jre1.6.0_07\bin\jusched .exe
c:\program files\Malwarebytes' Anti-Malware\mbam .exe
c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan .exe
c:\program files\Parallels\Parallels Tools\ParallelsToolsCenter .exe
c:\program files\Parallels\Parallels Tools\SIA\sharedintapp .exe
c:\program files\TomTom HOME 2\TomTomHOMERunner .exe

/code ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883856] "IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" [N/A] "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-05-30 39408] "TomTomHOME.exe"="c:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [N/A] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SharedInternetApplication"="c:\program files\Parallels\Parallels Tools\SIA\sharedintapp.exe" [N/A] "NBKeyScan"="c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [N/A] "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [N/A] "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\ Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2008-4-5 110592] McAfee Security Scan.lnk - c:\program files\McAfee Security Scan\1.0.150\SSScheduler.exe [2009-7-28 199184] Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-1-20 65588] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "c:\Program Files\eMule\emule.exe"= "c:\Program Files\Windows Live\Messenger\wlcsdk.exe"= "c:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"= "c:\WINDOWS\pchealth\helpctr\binaries\helpctr.exe"= R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [20/04/2010 21:49 162768] R1 PrlNP;PrlNP;c:\windows\system32\drivers\PRLFS.SYS [04/04/2008 22:17 138368] R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [24/04/2010 15:27 108289] R2 cohrence;Parallels Coherence Service;c:\program files\Parallels\Parallels Tools\cohrence.exe [04/04/2008 22:17 49250] R2 k;k;c:\windows\system32\o.sys [23/04/2010 23:32 4736] R2 PrlTime;Pilote de synchronisation de l'heure Parallels;c:\windows\system32\drivers\prltime.sys [04/04/2008 22:17 2550] R2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [13/11/2009 13:31 92008] R2 toolsrv;Parallels Tools Utility Service;c:\program files\Parallels\Parallels Tools oolsrv.exe [04/04/2008 22:17 90112] R3 PCITG;PCITG;c:\windows\system32\drivers\pcitg.sys [04/04/2008 22:17 15232] R3 PrlMouse;Parallels Mouse Synchronization Tool;c:\windows\system32\drivers\PrlMouse.sys [04/04/2008 22:17 5373] R3 PrlVideo;PrlVideo;c:\windows\system32\drivers\PrlVideo.sys [04/04/2008 22:17 105728] S0 izmzrqxd;izmzrqxd; [x] S2 aswFsBlk;aswFsBlk;aswFsBlk.sys --> aswFsBlk.sys [?] S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [07/02/2010 07:07 135664] S3 NtApm;Pilote d'interface NT APM/hérité;c:\windows\system32\drivers\NtApm.sys [05/04/2008 00:02 9472] S3 prleth;Parallels Network Adapter;c:\windows\system32\drivers\prleth.sys [04/04/2008 22:17 6112] . Contenu du dossier 'Tâches planifiées' 2010-08-25 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\program files\Google\Update\GoogleUpdate.exe [2010-02-07 17:25] 2010-08-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\program files\Google\Update\GoogleUpdate.exe [2010-02-07 17:25] 2010-08-25 c:\windows\Tasks\WGASetup.job - c:\windows\system32\KB905474\wgasetup.exe [2010-05-06 20:18] . . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.google.fr/ uInternet Settings,ProxyOverride = IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html . - - - - ORPHELINS SUPPRIMES - - - - WebBrowser-{FD2FD708-1F6F-4B68-B141-C5778F0C19BB} - (no file) AddRemove-{7B63B2922B174135AFC0E1377DD81EC2} - c:\program files\DivX\DivXCodecUninstall.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-08-25 21:05 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'explorer.exe'(10116) c:\windows\system32\eappprxy.dll . ------------------------ Autres processus actifs ------------------------ . c:\program files\Alwil Software\Avast5\AvastSvc.exe c:\program files\Avira\AntiVir Desktop\avguard.exe c:\program files\Nero\Nero8\Nero BackItUp\NBService.exe c:\windows\system32\IoctlSvc.exe c:\windows\system32\wdfmgr.exe c:\windows\system32\wscntfy.exe . ************************************************************************** . Heure de fin: 2010-08-25 21:11:16 - La machine a redémarré ComboFix-quarantined-files.txt 2010-08-25 19:11 Avant-CF: 4 257 341 440 octets libres Après-CF: 4 234 838 016 octets libres - - End Of File - - 0369626530E073F0E5C0BA74152ABA79

jfkpresident · Answer

Il va falloir analyser un ou des fichier(s) suspect(s) !

Il se peut qu'il se trouvent dans les " dossiers cachés " du systeme.
Il faut donc les rendre visibles pour le scan.

Pour afficher les dossiers et fichiers cachés:

Panneau de configuration > Options des dossiers > onglet Affichage.

Coche Afficher les fichiers et dossiers cachés,
Décoche Masquer les extensions de fichiers connus
Décoche Masquer les fichiers protégés du Système.
Un message de mise en garde va apparaitre. Clique sur OK pour confirmer ton choix.
Les fichiers et dossiers cachés du système apparaitront alors dans l'explorateur Windows en transparence. 

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ces fichiers :
c:\windows\system32\KB905474\wgasetup.exe 
c:\program files\Fichiers communs\Nero\Lib\NeroCheck .exe       

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

jfkpresident · Answer

Il va falloir analyser un ou des fichier(s) suspect(s) !

Il se peut qu'il se trouvent dans les " dossiers cachés " du systeme.
Il faut donc les rendre visibles pour le scan.

Pour afficher les dossiers et fichiers cachés:

Panneau de configuration > Options des dossiers > onglet Affichage.

Coche Afficher les fichiers et dossiers cachés,
Décoche Masquer les extensions de fichiers connus
Décoche Masquer les fichiers protégés du Système.
Un message de mise en garde va apparaitre. Clique sur OK pour confirmer ton choix.
Les fichiers et dossiers cachés du système apparaitront alors dans l'explorateur Windows en transparence. 

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ces fichiers :
c:\windows\system32\KB905474\wgasetup.exe 
c:\program files\Fichiers communs\Nero\Lib\NeroCheck .exe       

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

feeeo · Answer

Voici le résultat :


analyse fichier c:\windows\system32\KB905474\wgasetup.exe

File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis: 

MD5: 4b8276e4a943d0828dab352117d3a8aa 
Date first seen: 2009-04-07 21:20:37 (UTC) 
Date last seen: 2010-06-24 16:10:07 (UTC) 
Detection ratio: 0/41 


analyse fichier c:\program files\Fichiers communs\Nero\Lib\NeroCheck .exe

0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware. 
File name: NeroCheck .exe
Submission date: 2010-08-25 21:09:59 (UTC)
Current status: queued queued analysing finished


Result: 0/ 41 (0.0%)
 VT Community

not reviewed
 Safety score: -  

Compact Print results 
Antivirus Version Last Update Result 
AhnLab-V3 2010.08.25.01 2010.08.25 - 
AntiVir 8.2.4.38 2010.08.25 - 
Antiy-AVL 2.0.3.7 2010.08.23 - 
Authentium 5.2.0.5 2010.08.25 - 
Avast 4.8.1351.0 2010.08.25 - 
Avast5 5.0.594.0 2010.08.25 - 
AVG 9.0.0.851 2010.08.25 - 
BitDefender 7.2 2010.08.25 - 
CAT-QuickHeal 11.00 2010.08.24 - 
ClamAV 0.96.2.0-git 2010.08.25 - 
Comodo 5856 2010.08.25 - 
DrWeb 5.0.2.03300 2010.08.25 - 
Emsisoft 5.0.0.37 2010.08.25 - 
eSafe 7.0.17.0 2010.08.25 - 
eTrust-Vet 36.1.7815 2010.08.25 - 
F-Prot 4.6.1.107 2010.08.25 - 
F-Secure 9.0.15370.0 2010.08.25 - 
Fortinet 4.1.143.0 2010.08.25 - 
GData 21 2010.08.25 - 
Ikarus T3.1.1.88.0 2010.08.25 - 
Jiangmin 13.0.900 2010.08.25 - 
Kaspersky 7.0.0.125 2010.08.25 - 
McAfee 5.400.0.1158 2010.08.25 - 
Microsoft 1.6103 2010.08.25 - 
NOD32 5397 2010.08.25 - 
Norman 6.05.11 2010.08.25 - 
nProtect 2010-08-25.02 2010.08.25 - 
Panda 10.0.2.7 2010.08.25 - 
PCTools 7.0.3.5 2010.08.25 - 
Prevx 3.0 2010.08.25 - 
Rising 22.62.02.04 2010.08.25 - 
Sophos 4.56.0 2010.08.25 - 
Sunbelt 6792 2010.08.25 - 
SUPERAntiSpyware 4.40.0.1006 2010.08.25 - 
Symantec 20101.1.1.7 2010.08.25 - 
TheHacker 6.5.2.1.355 2010.08.25 - 
TrendMicro 9.120.0.1004 2010.08.25 - 
TrendMicro-HouseCall 9.120.0.1004 2010.08.25 - 
VBA32 3.12.14.0 2010.08.25 - 
ViRobot 2010.8.25.4007 2010.08.25 - 
VirusBuster 5.0.27.0 2010.08.25 - 
Additional informationShow all  
MD5   : 9645c12c98b4c3dbf0cd9259a35c8422 
SHA1  : c28e3e01ee264c0382134b01ff95ce5d07daa40e 
SHA256: bf6b05a8bdddf6d2f5cf14d37fb8fd73c6d5435c354c445eed95059b69a0e18f 
ssdeep: 6144:knmNl4uSULlpbMkQaEV6uLlBJhulATSgK989iOZQTMeLvvm8gLC7:knmVldILlklRLb 
File size : 570664 bytes 
First seen: 2010-08-25 21:09:59 
Last seen : 2010-08-25 21:09:59 
TrID: 
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%) 
sigcheck: 
publisher....: Nero AG
copyright....: Copyright (c) 1995-2008 Nero AG and its licensors
product......: Nero AG NeroCheck
description..: NeroCheck
original name: NeroCheck.exe
internal name: NeroCheck
file version.: 1, 0, 0, 7
comments.....: Changed for new NeroCd2k installer
signers......: Nero AG
VeriSign Class 3 Code Signing 2004 CA
Class 3 Public Primary Certification Authority
signing date.: 5:14 PM 4/28/2008
verified.....: -
 
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x2A63B
timedatestamp....: 0x478B34D9 (Mon Jan 14 10:09:29 2008)
machinetype......: 0x14c (I386)

[[ 6 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0x6C02A, 0x6D000, 5.84, 4a8db01b333ca1830e70be729a20875c
.rdata, 0x6E000, 0x11E00, 0x12000, 4.03, 80d7719e302683a17a43033ea8390351
.data, 0x80000, 0x6C30, 0x3000, 3.39, e9b4d71d325a2a058e2246718f05c62f
.idata, 0x87000, 0x37F2, 0x4000, 4.59, a687a41076a296912cf5f9bec362440d
.didat, 0x8B000, 0x319, 0x1000, 0.29, 86901db29ed29d6af3d028e3f7232edc
.rsrc, 0x8C000, 0x1439, 0x2000, 2.07, 60f97995e1dd80b9bd960c49d78457b9

[[ 10 import(s) ]]
KERNEL32.dll: DuplicateHandle, GetVolumeInformationA, GetFullPathNameA, GetShortPathNameA, CreateFileA, LocalFileTimeToFileTime, SetFileTime, SetFileAttributesA, GetFileAttributesA, GetFileTime, HeapAlloc, HeapFree, HeapReAlloc, VirtualProtect, VirtualAlloc, GetSystemInfo, VirtualQuery, RtlUnwind, GetProcessHeap, GetStartupInfoA, RaiseException, ExitProcess, ExitThread, CreateThread, HeapSize, FatalAppExitA, VirtualFree, HeapDestroy, HeapCreate, GetStdHandle, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, GetFileSize, GetACP, IsValidCodePage, LCMapStringA, LCMapStringW, Sleep, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, QueryPerformanceCounter, GetTickCount, GetSystemTimeAsFileTime, GetTimeZoneInformation, GetDriveTypeA, SetConsoleCtrlHandler, GetStringTypeA, GetStringTypeW, GetTimeFormatA, GetDateFormatA, GetUserDefaultLCID, EnumSystemLocalesA, IsValidLocale, GetConsoleCP, GetConsoleMode, SetCurrentDirectoryA, GetLocaleInfoW, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, SetEnvironmentVariableA, SetEndOfFile, UnlockFile, LockFile, FlushFileBuffers, SetFilePointer, WriteFile, ReadFile, DeleteFileA, MoveFileA, GetOEMCP, GetCPInfo, GlobalFlags, GetCurrentDirectoryA, GetPrivateProfileStringA, WritePrivateProfileStringA, GetPrivateProfileIntA, FreeResource, GlobalAddAtomA, GlobalFindAtomA, lstrcmpW, CreateEventA, SuspendThread, SetEvent, WaitForSingleObject, ResumeThread, SetThreadPriority, CloseHandle, SystemTimeToFileTime, GetThreadLocale, GetAtomNameA, GlobalGetAtomNameA, InterlockedIncrement, InterlockedDecrement, GetModuleFileNameW, TlsFree, DeleteCriticalSection, LocalReAlloc, TlsSetValue, TlsAlloc, InitializeCriticalSection, GlobalHandle, GlobalReAlloc, EnterCriticalSection, TlsGetValue, LeaveCriticalSection, LocalAlloc, GlobalDeleteAtom, GetCurrentThread, GetCurrentThreadId, ConvertDefaultLocale, EnumResourceLanguagesA, GetLocaleInfoA, LoadLibraryA, lstrcmpA, FreeLibrary, SetErrorMode, GetCurrentProcessId, GetModuleFileNameA, FindFirstFileA, FileTimeToLocalFileTime, FileTimeToSystemTime, FindNextFileA, FindClose, GlobalFree, CopyFileA, GlobalSize, GlobalAlloc, GlobalLock, GlobalUnlock, FormatMessageA, LocalFree, MulDiv, SetLastError, GetCommandLineA, GetModuleHandleA, GetProcAddress, GetCurrentProcess, GetVersionExA, ExpandEnvironmentStringsA, GetWindowsDirectoryA, GetStringTypeExW, GetStringTypeExA, GetEnvironmentVariableW, GetEnvironmentVariableA, lstrlenA, lstrcmpiW, lstrcmpiA, CompareStringW, CompareStringA, lstrlenW, GetVersion, FindResourceA, LoadResource, LockResource, SizeofResource, GetLastError, WideCharToMultiByte, MultiByteToWideChar, IsDebuggerPresent, InterlockedExchange
USER32.dll: ScrollWindowEx, ShowWindow, MoveWindow, IsDialogMessageA, IsDlgButtonChecked, SetDlgItemTextA, SetDlgItemInt, GetDlgItemTextA, GetDlgItemInt, CheckRadioButton, CheckDlgButton, UnregisterClassA, GetDesktopWindow, SetWindowTextA, DeleteMenu, ShowOwnedPopups, SetCursor, SetMenuItemBitmaps, GetMenuCheckMarkDimensions, LoadBitmapA, ModifyMenuA, EnableMenuItem, CheckMenuItem, RegisterWindowMessageA, LoadIconA, SendDlgItemMessageA, WinHelpA, IsChild, GetCapture, GetClassLongA, GetClassNameA, SetPropA, GetPropA, RemovePropA, GetFocus, IsWindow, SetFocus, GetForegroundWindow, SetActiveWindow, BeginDeferWindowPos, EndDeferWindowPos, GetDlgItem, GetTopWindow, DestroyWindow, GetMessageTime, GetMessagePos, MapWindowPoints, ScrollWindow, TrackPopupMenuEx, TrackPopupMenu, SetScrollRange, InflateRect, SetScrollPos, GetScrollPos, SetForegroundWindow, ShowScrollBar, UpdateWindow, GetClientRect, GetMenu, CreateWindowExA, GetClassInfoExA, RegisterClassA, AdjustWindowRectEx, EqualRect, DeferWindowPos, CopyRect, GetScrollInfo, SetScrollInfo, PtInRect, SetWindowPlacement, GetDlgCtrlID, DefWindowProcA, CallWindowProcA, SetWindowLongA, SetWindowPos, OffsetRect, IntersectRect, SystemParametersInfoA, IsIconic, GetWindowPlacement, GetWindowRect, CharLowerA, CharLowerW, CharUpperA, CharUpperW, RemoveMenu, GetSubMenu, GetWindow, EndPaint, BeginPaint, GetWindowDC, ClientToScreen, ScreenToClient, GrayStringA, DrawTextExA, DrawTextA, TabbedTextOutA, FillRect, SetWindowsHookExA, CallNextHookEx, GetMessageA, TranslateMessage, DispatchMessageA, GetMenuItemInfoA, DestroyMenu, GetDialogBaseUnits, CreateDialogIndirectParamA, GetNextDlgTabItem, EndDialog, GetScrollRange, DestroyIcon, GetMenuItemCount, InsertMenuA, GetMenuItemID, AppendMenuA, GetMenuStringA, GetMenuState, MessageBoxA, EnableWindow, IsWindowEnabled, GetLastActivePopup, GetWindowLongA, GetParent, SendMessageA, GetWindowThreadProcessId, PostQuitMessage, PostMessageA, UnhookWindowsHookEx, GetSysColorBrush, GetActiveWindow, IsWindowVisible, GetKeyState, PeekMessageA, GetCursorPos, ValidateRect, GetWindowTextLengthA, GetWindowTextA, LoadCursorA, GetSystemMetrics, GetDC, ReleaseDC, GetSysColor, GetClassInfoA
GDI32.dll: PolylineTo, PolyBezierTo, ExtSelectClipRgn, DeleteDC, CreateDIBPatternBrushPt, CreatePatternBrush, CreateBitmap, CreateCompatibleDC, GetStockObject, PtVisible, SelectPalette, PlayMetaFileRecord, GetObjectType, EnumMetaFile, PolyDraw, CreatePen, ExtCreatePen, CreateSolidBrush, CreateHatchBrush, GetDCOrgEx, CreateFontIndirectA, CreateRectRgnIndirect, SetRectRgn, CombineRgn, GetMapMode, PatBlt, DPtoLP, GetTextExtentPoint32A, GetTextMetricsA, ArcTo, GetCurrentPositionEx, ScaleWindowExtEx, SetWindowExtEx, OffsetWindowOrgEx, SetWindowOrgEx, ScaleViewportExtEx, SetViewportExtEx, OffsetViewportOrgEx, SetViewportOrgEx, SelectObject, Escape, ExtTextOutA, TextOutA, PlayMetaFile, GetDeviceCaps, StartDocA, GetPixel, BitBlt, GetWindowExtEx, GetViewportExtEx, GetObjectA, SelectClipPath, CreateRectRgn, GetClipRgn, SelectClipRgn, DeleteObject, SetColorAdjustment, SetArcDirection, SetMapperFlags, SetTextCharacterExtra, SetTextJustification, SetTextAlign, MoveToEx, LineTo, OffsetClipRgn, IntersectClipRect, ExcludeClipRect, GetClipBox, SetMapMode, ModifyWorldTransform, SetWorldTransform, SetGraphicsMode, SetTextColor, SetStretchBltMode, SetROP2, SetPolyFillMode, SetBkMode, SetBkColor, RestoreDC, SaveDC, CreateDCA, CopyMetaFileA, RectVisible
comdlg32.dll: GetFileTitleA
WINSPOOL.DRV: ClosePrinter, DocumentPropertiesA, OpenPrinterA
ADVAPI32.dll: RegQueryValueA, RegEnumKeyA, RegDeleteKeyA, RegDeleteValueA, RegCreateKeyExA, RegOpenKeyA, RegSetValueA, RegisterEventSourceA, ReportEventA, DeregisterEventSource, RegSetValueExA, RegOpenKeyExA, RegQueryValueExA, RegCloseKey, RegCreateKeyA
SHELL32.dll: ExtractIconA, SHGetFileInfoA
SHLWAPI.dll: PathFindFileNameA, PathFindExtensionA, PathRemoveExtensionA, PathStripToRootA, PathIsUNCA
ole32.dll: ReleaseStgMedium, CreateBindCtx, CoTreatAsClass, StringFromCLSID, ReadClassStg, CoTaskMemAlloc, OleRegGetUserType, WriteClassStg, WriteFmtUserTypeStg, SetConvertStg, CoTaskMemFree, OleDuplicateData, CoDisconnectObject, CoCreateInstance, StringFromGUID2, CLSIDFromString, ReadFmtUserTypeStg
OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
 


VT Community

0
This file has never been reviewed by any VT Community member. Be the first one to comment on it! 
VirusTotal Team

feeeo · Answer

Je ne sais pas si ça a vraiment fonctionner pour le premier fichier que j'ai analysé ... enfin tu me diras ce que tu en penses merci

feeeo · Answer

Tu me tiens au courant de la suite au pire demain, car je ne vais pas non plus abusé de ton aide Merci

jfkpresident · Answer

Hello,

Peux tu me recoller un nouveau rapport ZhpDiag pour faire le point .

feeeo · Answer

Hello,

Je te fais ça ce soir là je ne suis pas chez moi.

Merci.

feeeo · Answer

Désolée JFK, pas dispo ce soir je viens de faire l'analyse je te mets le lien affaire à suivre Bonne nuit à toi à demain ;-)
http://www.cijoint.fr/cjlink.php?file=cj201008/cijWfZxCxb.txt

jfkpresident · Answer

1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

https://www.malwarebytes.com/

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse

feeeo · Answer

Hello, J'espère que ça va bien ?
Je viens de faire l'analyse tu trouveras le rapport ci dessous :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4493

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

28/08/2010 14:46:46
mbam-log-2010-08-28 (14-46-46).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 129881
Temps écoulé: 9 minute(s), 37 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

jfkpresident · Answer

Hello, J'espère que ça va bien ? 

Oui,merci .

Dis moi comment se comporte le pc ?

feeeo · Answer

Ben tout à l'air de bien marcher là je n'ai plus les fenêtres qui me prévenait comme quoi j'avais un cheval de troie sur mon ordi, donc je pense que tu as sûrement résolu mon problème.
Si c'est le cas je te remercie d'avoir passé du temps pour m'aider c'est vraiment sympa de ta part.

jfkpresident · Answer

On va donc pouvoir finir ce topique :

Désinstalles un de tes deux antivirus (Avast et Antivir)

Utilitaire pour désinstaller AVAST: https://www.avast.com/fr-fr/uninstall-utility

Utilitaire pour désinstaller Antivir: https://www.avira.com/

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Relance ZHPFix sur ton Bureau.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage.

==============

Met a jour Explorer et ta console Java :

mettre à jour java
https://www.java.com/fr/download/manual.jsp

mettre a jour explorer 
https://support.microsoft.com/fr-fr/allproducts

==============

Maintenant que ton PC n'est plus infecté, désactive ta "Restauration du système" puis réactive la afin de créer un point de restauration sain. 

* Désactivation : 
Cliquer droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > cocher la case "Désactiver la Restauration du système sur tous les lecteurs" 
> Appliquer patiente jusqu a que cela soit marqué "désactivée" puis Ok. 

* Activation : 
Suivre le même chemin ; décocher la case "Désactiver la Restauration du système sur tous les lecteurs" 
> Appliquer attends que cela soit a nouveau sur "surveillance" puis Ok. Redémarrer l'ordinateur.. 

=============

Installe Ccleaner si tu ne le possedes pas :

Nettoyeurs (de fichiers inutiles) et autres :

*Ccleaner (gratuit)
Téléchargement :
https://www.01net.com/
Tuto :
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

Lors de l'installation, [décoche] l'option qui t'installerait la barre Yahoo !

=============

Pense a faire un peu de place sur ton disque C:\ (il est pratiquement plein ..)

Je te souhaite un bon surf sur la toile .

Je met le topique en "résolu" .

Cheval de troie TR/ATRAPS.GEN

33 réponses

Discussions similaires

Newsletters