Cheval de Troie : TR/ATRAPS.Gen2 - Antivir ne supprime pas

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

Cheval de Troie : TR/ATRAPS.Gen2 - Antivir ne supprime pas

Messagepar monoceros » 25 Déc 2011 22:54

Bonsoir à tous.

Il se trouve que mon Antivir détecte un cheval de Troie : TR/ATRAPS.Gen2.
J'ai beau mettre ce trojan en quarantaine il continue d'apparaitre.
J'ai fais quelque recherche et j'ai trouvé certaine procédure à appliquer mais il me semble (si j'ai bien compris!) que la méthode de résolution n'est pas la même pour chaque utilisateurs ... !
Merci d'avance pour votre aide et conseil :)

Mono
monoceros
 
Messages: 11
Inscription: 25 Déc 2011 22:33

Re: Cheval de Troie : TR/ATRAPS.Gen2 - Antivir ne supprime p

Messagepar zaede » 25 Déc 2011 23:41

Bonsoir monoceros, la procedure change selon l'analyse du log

Télécharge ZHPDiag( de Nicolas coolman ).

- Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut en n'oubliant pas de cocher " Créer une icône sur le bureau "
Pour Vista et Windows 7 clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur

- Double clique sur l'icône ZHPDiag présente sur ton bureau

- Clique sur la loupe en haut à gauche, le scan va se lancer

Image

- Le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau (ZHPDiag.txt) .

Image

- Sinon le rapport sera aussi sauvegardé dans ce dossier ==> C:\ZHP\ZHPDiag.txt

Pour poster le rapport:

- Rend toi sur Cjoint

- Clique sur Parcourir dans la partie Joindre un fichier

- Séléctionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

- Clique ensuite sur " Créer le lien cjoint " et copie/colle le dans ton prochain message
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: Cheval de Troie : TR/ATRAPS.Gen2 - Antivir ne supprime p

Messagepar monoceros » 25 Déc 2011 23:53

monoceros
 
Messages: 11
Inscription: 25 Déc 2011 22:33

Re: Cheval de Troie : TR/ATRAPS.Gen2 - Antivir ne supprime p

Messagepar zaede » 27 Déc 2011 00:23

- Télécharge RogueKiller (par tigzy) sur le bureau

- Quitte tous tes programmes en cours

- Lance RogueKiller.exe.

- Sous Vista/Seven, clique droit et lancer en tant qu'administrateur

- Lorsque demandé, tape 2 (delete) et valide

- Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse

Note:
Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois.
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: Cheval de Troie : TR/ATRAPS.Gen2 - Antivir ne supprime p

Messagepar monoceros » 27 Déc 2011 16:20

Voilà le contenu du rapport :

RogueKiller V6.2.0 [12/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion- ... ntees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: Camille [Droits d'admin]
Mode: Suppression -- Date : 27/12/2011 16:18:34

¤¤¤ Processus malicieux: 1 ¤¤¤
[SVCHOST] svchost.exe -- Path not found -> KILLED [TermProc]

¤¤¤ Entrees de registre: 2 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

¤¤¤ Infection : Root.MBR ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤


¤¤¤ MBR Verif: ¤¤¤
--- User ---
[MBR] 4580bc658ee8d8d8e421e4891a3fd476
[BSP] f9bb40b4fa6bb14d5bcd4c186abec3a3 : MBR Code unknown
Partition table:
0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 2048 | Size: 104 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 206848 | Size: 150323 Mo
2 - [XXXXXX] UNKNW [VISIBLE] Offset (sectors): 293808128 | Size: 573728 Mo
3 - [XXXXXX] NTFS [HIDDEN!] Offset (sectors): 1414371328 | Size: 25996 Mo
User = LL1 ... OK!
User != LL2 ... KO!
--- LL2 ---
[MBR] c5f0eafec406c7f0c82acab31114faef
[BSP] 829af88176315750cb919068733ebb05 : MBR Code unknown
Partition table:

Termine : << RKreport[1].txt >>
RKreport[1].txt
monoceros
 
Messages: 11
Inscription: 25 Déc 2011 22:33

Re: Cheval de Troie : TR/ATRAPS.Gen2 - Antivir ne supprime p

Messagepar monoceros » 27 Déc 2011 21:12

Depuis que j'ai fait la dernière action, je n'ai plus de message.
Par contre deux nouveaux phénomènes sont apparu :
- une adresse apparait de manière aléatoire dans mon navigateur web : http://mediashifting.com/?search=gladst ... 0919b9&p=1
- je viens de me rendre compte que mon pare-feu Windows est désactivé et qu'il m'est impossible de le ré-activer il m'indique cette erreur : "Le par-feu Windows ne peut pas modifier certains de vos paramètres. Code d'erreur 0x80070424".
C'est pas bon ça ?!
monoceros
 
Messages: 11
Inscription: 25 Déc 2011 22:33

Re: Cheval de Troie : TR/ATRAPS.Gen2 - Antivir ne supprime p

Messagepar zaede » 29 Déc 2011 00:09

Bonsoir monoceros, on va continuer par ceci

Télécharge :

Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton bureau


Mets le à jour


- Lance MalwareByte's Anti-Malware

- Onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

- A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

- Si MalwareByte's n'a rien détecté, clique sur Ok Un rapport va apparaître ferme-le.


- Si MalwareByte's a détecté des infections, clique sur:

Afficher les résultat

Ensuite:

Supprimer la sélection


- Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport.

- Le rapport peut être retrouvé sous l'onglet Rapports/logs

- Ferme MBAM en cliquant sur Quitter.



Note : MalwareByte's peut être amené à redémarrer pour terminer la suppression, accepte en cliquant sur Ok

Tutoriel pour MalwareByte's


-Poste le rapport de malwarebyte's
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: Cheval de Troie : TR/ATRAPS.Gen2 - Antivir ne supprime p

Messagepar monoceros » 29 Déc 2011 18:18

Salut Zaede !

Alors j'ai cherché un peu de mon coté, concernant le pare feu ça peut être un registre qui a été modifié avec les virus ou en exécutant le roguekiller ?
Avec l'erreur 0x80070424 il serait conseillé de ré-installer le SP1 de Windows seven. Qu'en penses-tu ?

En ce qui concerne l'affichage de manière aléatoire de la page web "mediashifting" ça serai un virus très récent.

Merci de m'aider :wink:

Hier j'ai effectué un scan complet de mon PC avec Antivir il m'a sortie deux rapports.
Je te joins ces 2 rapports et celui de malwarebytes :

1er rapport Antivir :

Avira AntiVir Personal
Date de création du fichier de rapport : mercredi 28 décembre 2011 19:49

La recherche porte sur 2987526 souches de virus.

Le programme fonctionne en version intégrale illimitée.
Les services en ligne sont disponibles.

Détenteur de la licence : Avira AntiVir Personal - Free Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows 7 x64
Version de Windows : (Service Pack 1) [6.1.7601]
Mode Boot : Démarré normalement
Identifiant : Système
Nom de l'ordinateur : CAMILLE-PC

Informations de version :
BUILD.DAT : 10.2.0.152 35934 Bytes 03/11/2011 17:29:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 20/12/2011 22:18:44
AVSCAN.DLL : 10.0.5.0 56680 Bytes 20/12/2011 22:18:44
LUKE.DLL : 10.3.0.5 45416 Bytes 20/12/2011 22:18:45
LUKERES.DLL : 10.0.0.0 13672 Bytes 17/08/2010 12:39:11
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 20/12/2011 22:18:45
AVREG.DLL : 10.3.0.9 88833 Bytes 20/12/2011 22:18:45
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 09:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 22:18:43
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20/12/2011 22:18:43
VBASE003.VDF : 7.11.19.171 2048 Bytes 20/12/2011 22:18:43
VBASE004.VDF : 7.11.19.172 2048 Bytes 20/12/2011 22:18:43
VBASE005.VDF : 7.11.19.173 2048 Bytes 20/12/2011 22:18:43
VBASE006.VDF : 7.11.19.174 2048 Bytes 20/12/2011 22:18:43
VBASE007.VDF : 7.11.19.175 2048 Bytes 20/12/2011 22:18:43
VBASE008.VDF : 7.11.19.176 2048 Bytes 20/12/2011 22:18:43
VBASE009.VDF : 7.11.19.177 2048 Bytes 20/12/2011 22:18:43
VBASE010.VDF : 7.11.19.178 2048 Bytes 20/12/2011 22:18:43
VBASE011.VDF : 7.11.19.179 2048 Bytes 20/12/2011 22:18:43
VBASE012.VDF : 7.11.19.180 2048 Bytes 20/12/2011 22:18:43
VBASE013.VDF : 7.11.19.217 182784 Bytes 22/12/2011 22:08:48
VBASE014.VDF : 7.11.19.255 148480 Bytes 24/12/2011 21:09:19
VBASE015.VDF : 7.11.20.29 164352 Bytes 27/12/2011 15:12:01
VBASE016.VDF : 7.11.20.30 2048 Bytes 27/12/2011 15:12:03
VBASE017.VDF : 7.11.20.31 2048 Bytes 27/12/2011 15:12:05
VBASE018.VDF : 7.11.20.32 2048 Bytes 27/12/2011 15:12:09
VBASE019.VDF : 7.11.20.33 2048 Bytes 27/12/2011 15:12:09
VBASE020.VDF : 7.11.20.34 2048 Bytes 27/12/2011 15:12:09
VBASE021.VDF : 7.11.20.35 2048 Bytes 27/12/2011 15:12:09
VBASE022.VDF : 7.11.20.36 2048 Bytes 27/12/2011 15:12:09
VBASE023.VDF : 7.11.20.37 2048 Bytes 27/12/2011 15:12:09
VBASE024.VDF : 7.11.20.38 2048 Bytes 27/12/2011 15:12:10
VBASE025.VDF : 7.11.20.39 2048 Bytes 27/12/2011 15:12:10
VBASE026.VDF : 7.11.20.40 2048 Bytes 27/12/2011 15:12:11
VBASE027.VDF : 7.11.20.41 2048 Bytes 27/12/2011 15:12:11
VBASE028.VDF : 7.11.20.42 2048 Bytes 27/12/2011 15:12:12
VBASE029.VDF : 7.11.20.43 2048 Bytes 27/12/2011 15:12:12
VBASE030.VDF : 7.11.20.44 2048 Bytes 27/12/2011 15:12:12
VBASE031.VDF : 7.11.20.59 133120 Bytes 28/12/2011 18:49:02
Version du moteur : 8.2.8.14
AEVDF.DLL : 8.1.2.2 106868 Bytes 20/12/2011 22:18:44
AESCRIPT.DLL : 8.1.3.95 479612 Bytes 28/12/2011 18:49:07
AESCN.DLL : 8.1.7.2 127349 Bytes 20/12/2011 22:18:44
AESBX.DLL : 8.2.4.5 434549 Bytes 20/12/2011 22:18:44
AERDL.DLL : 8.1.9.15 639348 Bytes 20/12/2011 22:18:44
AEPACK.DLL : 8.2.15.1 770423 Bytes 20/12/2011 22:18:44
AEOFFICE.DLL : 8.1.2.24 201084 Bytes 20/12/2011 22:18:44
AEHEUR.DLL : 8.1.3.12 4268407 Bytes 28/12/2011 18:49:06
AEHELP.DLL : 8.1.18.0 254327 Bytes 20/12/2011 22:18:43
AEGEN.DLL : 8.1.5.17 405877 Bytes 20/12/2011 22:18:43
AEEMU.DLL : 8.1.3.0 393589 Bytes 20/12/2011 22:18:43
AECORE.DLL : 8.1.24.3 201079 Bytes 28/12/2011 18:49:03
AEBB.DLL : 8.1.1.0 53618 Bytes 17/08/2010 12:38:45
AVWINLL.DLL : 10.0.0.0 19304 Bytes 17/08/2010 12:38:56
AVPREF.DLL : 10.0.3.2 44904 Bytes 20/12/2011 22:18:44
AVREP.DLL : 10.0.0.10 174120 Bytes 20/12/2011 22:18:45
AVARKT.DLL : 10.0.26.1 255336 Bytes 20/12/2011 22:18:44
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 20/12/2011 22:18:44
SQLITE3.DLL : 3.6.19.0 355688 Bytes 17/06/2010 14:28:02
AVSMTP.DLL : 10.0.0.17 63848 Bytes 17/08/2010 12:38:56
NETNT.DLL : 10.0.0.0 11624 Bytes 17/06/2010 14:28:01
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 20/12/2011 22:18:42
RCTEXT.DLL : 10.0.64.0 100712 Bytes 20/12/2011 22:18:42

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: C:\program files (x86)\avira\antivir desktop\sysscan.avp
Documentation.................................: par défaut
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:,
Recherche dans les programmes actifs..........: marche
Programmes en cours étendus...................: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: avancé
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Début de la recherche : mercredi 28 décembre 2011 19:49

La recherche d'objets cachés commence.

La recherche sur les processus démarrés commence :
Processus de recherche 'plugin-container.exe' - '77' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '108' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '68' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '31' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '77' module(s) sont contrôlés
Processus de recherche 'SUPBackground.exe' - '55' module(s) sont contrôlés
Processus de recherche 'EasySpeedUpManager.exe' - '35' module(s) sont contrôlés
Processus de recherche 'Media+Player10Serv.exe' - '28' module(s) sont contrôlés
Processus de recherche 'CLMLSvc.exe' - '37' module(s) sont contrôlés
Processus de recherche 'SSCKbdHk.exe' - '30' module(s) sont contrôlés
Processus de recherche 'UNS.exe' - '42' module(s) sont contrôlés
Processus de recherche 'SeaPort.EXE' - '53' module(s) sont contrôlés
Processus de recherche 'daemonu.exe' - '60' module(s) sont contrôlés
Processus de recherche 'LMS.exe' - '30' module(s) sont contrôlés
Processus de recherche 'WCScheduler.exe' - '58' module(s) sont contrôlés
Processus de recherche 'SmartEco.exe' - '38' module(s) sont contrôlés
Processus de recherche 'SmartSetting.exe' - '52' module(s) sont contrôlés
Processus de recherche 'dmhkcore.exe' - '57' module(s) sont contrôlés
Processus de recherche 'MovieColorEnhancer.exe' - '42' module(s) sont contrôlés
Processus de recherche 'YCMMirage.exe' - '37' module(s) sont contrôlés
Processus de recherche 'WifiManager.exe' - '44' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '26' module(s) sont contrôlés
Processus de recherche 'iTunesHelper.exe' - '70' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '69' module(s) sont contrôlés
Processus de recherche 'Dropbox.exe' - '69' module(s) sont contrôlés
Processus de recherche 'AWSC.exe' - '27' module(s) sont contrôlés
Processus de recherche 'Nexus.exe' - '89' module(s) sont contrôlés
Processus de recherche 'AAWTray.exe' - '26' module(s) sont contrôlés
Processus de recherche 'WsxService.exe' - '20' module(s) sont contrôlés
Processus de recherche 'TeamViewer_Service.exe' - '84' module(s) sont contrôlés
Processus de recherche 'RichVideo.exe' - '25' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '65' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '70' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '51' module(s) sont contrôlés
Processus de recherche 'AAWService.exe' - '115' module(s) sont contrôlés

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '814' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\Windows\System32\consrv.dll
[RESULTAT] Contient le cheval de Troie TR/ATRAPS.Gen2
Recherche débutant dans 'D:\'

Début de la désinfection :
C:\Windows\System32\consrv.dll
[RESULTAT] Contient le cheval de Troie TR/ATRAPS.Gen2
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4aa3d8f5.qua' !


Fin de la recherche : mercredi 28 décembre 2011 21:11
Temps nécessaire: 1:22:13 Heure(s)

La recherche a été effectuée intégralement

40585 Les répertoires ont été contrôlés
968673 Des fichiers ont été contrôlés
1 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
1 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
0 Impossible de scanner des fichiers
968672 Fichiers non infectés
7148 Les archives ont été contrôlées
0 Avertissements
1 Consignes
541549 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
2eme rapport Antivir :

Avira AntiVir Personal
Date de création du fichier de rapport : mercredi 28 décembre 2011 20:43

La recherche porte sur 2987526 souches de virus.

Le programme fonctionne en version intégrale illimitée.
Les services en ligne sont disponibles.

Détenteur de la licence : Avira AntiVir Personal - Free Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows 7 x64
Version de Windows : (Service Pack 1) [6.1.7601]
Mode Boot : Démarré normalement
Identifiant : Système
Nom de l'ordinateur : CAMILLE-PC

Informations de version :
BUILD.DAT : 10.2.0.152 35934 Bytes 03/11/2011 17:29:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 20/12/2011 22:18:44
AVSCAN.DLL : 10.0.5.0 56680 Bytes 20/12/2011 22:18:44
LUKE.DLL : 10.3.0.5 45416 Bytes 20/12/2011 22:18:45
LUKERES.DLL : 10.0.0.0 13672 Bytes 17/08/2010 12:39:11
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 20/12/2011 22:18:45
AVREG.DLL : 10.3.0.9 88833 Bytes 20/12/2011 22:18:45
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 09:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 22:18:43
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20/12/2011 22:18:43
VBASE003.VDF : 7.11.19.171 2048 Bytes 20/12/2011 22:18:43
VBASE004.VDF : 7.11.19.172 2048 Bytes 20/12/2011 22:18:43
VBASE005.VDF : 7.11.19.173 2048 Bytes 20/12/2011 22:18:43
VBASE006.VDF : 7.11.19.174 2048 Bytes 20/12/2011 22:18:43
VBASE007.VDF : 7.11.19.175 2048 Bytes 20/12/2011 22:18:43
VBASE008.VDF : 7.11.19.176 2048 Bytes 20/12/2011 22:18:43
VBASE009.VDF : 7.11.19.177 2048 Bytes 20/12/2011 22:18:43
VBASE010.VDF : 7.11.19.178 2048 Bytes 20/12/2011 22:18:43
VBASE011.VDF : 7.11.19.179 2048 Bytes 20/12/2011 22:18:43
VBASE012.VDF : 7.11.19.180 2048 Bytes 20/12/2011 22:18:43
VBASE013.VDF : 7.11.19.217 182784 Bytes 22/12/2011 22:08:48
VBASE014.VDF : 7.11.19.255 148480 Bytes 24/12/2011 21:09:19
VBASE015.VDF : 7.11.20.29 164352 Bytes 27/12/2011 15:12:01
VBASE016.VDF : 7.11.20.30 2048 Bytes 27/12/2011 15:12:03
VBASE017.VDF : 7.11.20.31 2048 Bytes 27/12/2011 15:12:05
VBASE018.VDF : 7.11.20.32 2048 Bytes 27/12/2011 15:12:09
VBASE019.VDF : 7.11.20.33 2048 Bytes 27/12/2011 15:12:09
VBASE020.VDF : 7.11.20.34 2048 Bytes 27/12/2011 15:12:09
VBASE021.VDF : 7.11.20.35 2048 Bytes 27/12/2011 15:12:09
VBASE022.VDF : 7.11.20.36 2048 Bytes 27/12/2011 15:12:09
VBASE023.VDF : 7.11.20.37 2048 Bytes 27/12/2011 15:12:09
VBASE024.VDF : 7.11.20.38 2048 Bytes 27/12/2011 15:12:10
VBASE025.VDF : 7.11.20.39 2048 Bytes 27/12/2011 15:12:10
VBASE026.VDF : 7.11.20.40 2048 Bytes 27/12/2011 15:12:11
VBASE027.VDF : 7.11.20.41 2048 Bytes 27/12/2011 15:12:11
VBASE028.VDF : 7.11.20.42 2048 Bytes 27/12/2011 15:12:12
VBASE029.VDF : 7.11.20.43 2048 Bytes 27/12/2011 15:12:12
VBASE030.VDF : 7.11.20.44 2048 Bytes 27/12/2011 15:12:12
VBASE031.VDF : 7.11.20.59 133120 Bytes 28/12/2011 18:49:02
Version du moteur : 8.2.8.14
AEVDF.DLL : 8.1.2.2 106868 Bytes 20/12/2011 22:18:44
AESCRIPT.DLL : 8.1.3.95 479612 Bytes 28/12/2011 18:49:07
AESCN.DLL : 8.1.7.2 127349 Bytes 20/12/2011 22:18:44
AESBX.DLL : 8.2.4.5 434549 Bytes 20/12/2011 22:18:44
AERDL.DLL : 8.1.9.15 639348 Bytes 20/12/2011 22:18:44
AEPACK.DLL : 8.2.15.1 770423 Bytes 20/12/2011 22:18:44
AEOFFICE.DLL : 8.1.2.24 201084 Bytes 20/12/2011 22:18:44
AEHEUR.DLL : 8.1.3.12 4268407 Bytes 28/12/2011 18:49:06
AEHELP.DLL : 8.1.18.0 254327 Bytes 20/12/2011 22:18:43
AEGEN.DLL : 8.1.5.17 405877 Bytes 20/12/2011 22:18:43
AEEMU.DLL : 8.1.3.0 393589 Bytes 20/12/2011 22:18:43
AECORE.DLL : 8.1.24.3 201079 Bytes 28/12/2011 18:49:03
AEBB.DLL : 8.1.1.0 53618 Bytes 17/08/2010 12:38:45
AVWINLL.DLL : 10.0.0.0 19304 Bytes 17/08/2010 12:38:56
AVPREF.DLL : 10.0.3.2 44904 Bytes 20/12/2011 22:18:44
AVREP.DLL : 10.0.0.10 174120 Bytes 20/12/2011 22:18:45
AVARKT.DLL : 10.0.26.1 255336 Bytes 20/12/2011 22:18:44
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 20/12/2011 22:18:44
SQLITE3.DLL : 3.6.19.0 355688 Bytes 17/06/2010 14:28:02
AVSMTP.DLL : 10.0.0.17 63848 Bytes 17/08/2010 12:38:56
NETNT.DLL : 10.0.0.0 11624 Bytes 17/06/2010 14:28:01
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 20/12/2011 22:18:42
RCTEXT.DLL : 10.0.64.0 100712 Bytes 20/12/2011 22:18:42

Configuration pour la recherche actuelle :
Nom de la tâche...............................: avguard_async_scan
Fichier de configuration......................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4f19a988\guard_slideup.avp
Documentation.................................: par défaut
Action principale.............................: réparer
Action secondaire.............................: quarantaine
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: arrêt
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: arrêt
Recherche de Rootkits.........................: arrêt
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: intégral
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Début de la recherche : mercredi 28 décembre 2011 20:43

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SUPBackground.exe' - '1' module(s) sont contrôlés
Processus de recherche 'EasySpeedUpManager.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Media+Player10Serv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CLMLSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SSCKbdHk.exe' - '1' module(s) sont contrôlés
Processus de recherche 'UNS.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SeaPort.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'daemonu.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LMS.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WCScheduler.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SmartEco.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SmartSetting.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dmhkcore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MovieColorEnhancer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'YCMMirage.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WifiManager.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Dropbox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AWSC.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Nexus.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AAWTray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WsxService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TeamViewer_Service.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RichVideo.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AAWService.exe' - '1' module(s) sont contrôlés

La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\Users\Camille\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WTMY7BZF\25c59f325431765185c1e07eb8a57374[1].htm'
C:\Users\Camille\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WTMY7BZF\25c59f325431765185c1e07eb8a57374[1].htm
[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen2
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a20dde3.qua' !


Fin de la recherche : mercredi 28 décembre 2011 20:43
Temps nécessaire: 00:20 Minute(s)

La recherche a été effectuée intégralement

0 Les répertoires ont été contrôlés
638 Des fichiers ont été contrôlés
1 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
1 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
0 Impossible de scanner des fichiers
637 Fichiers non infectés
1 Les archives ont été contrôlées
0 Avertissements
1 Consignes

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Voilà le rapport de malwarebytes :

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Malwarebytes Anti-Malware 1.60.0.1800
http://www.malwarebytes.org

Version de la base de données: v2011.12.29.01

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Camille :: CAMILLE-PC [administrateur]

29/12/2011 09:31:53
mbam-log-2011-12-29 (09-31-53).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 436440
Temps écoulé: 53 minute(s), 25 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Backdoor.Agent) -> Données: C:\Users\Camille\AppData\Local\14ca631e\X -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
D:\Exe\Installation_Messenger.exe (Trojan.Banker.Gen) -> Mis en quarantaine et supprimé avec succès.

(fin)

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

=> Les symptômes sont toujours les mêmes ...
monoceros
 
Messages: 11
Inscription: 25 Déc 2011 22:33

Re: Cheval de Troie : TR/ATRAPS.Gen2 - Antivir ne supprime p

Messagepar zaede » 29 Déc 2011 23:58

Bonsoir monoceros, la chasse a été bonne

Tu as encore des soucis?

Poste un nouveau rapport ZHPDiag via cjoint
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: Cheval de Troie : TR/ATRAPS.Gen2 - Antivir ne supprime p

Messagepar monoceros » 30 Déc 2011 00:28

Oui toujours les mêmes symptômes :
- Code d'erreur 0x80070424 lorsque je veux réactiver mon pare-feu
- apparition d'une page web http://mediashifting.com de façon aléatoire

Voilà le nouveau rapport ZHPDiag :
http://cjoint.com/?ALEaxXb1jxV
monoceros
 
Messages: 11
Inscription: 25 Déc 2011 22:33

Re: Cheval de Troie : TR/ATRAPS.Gen2 - Antivir ne supprime p

Messagepar zaede » 31 Déc 2011 01:45

Bonsoir monoceros, on retrouve la même saleté oui

Attention le temps de téléchargement du script a été limité à 4 jours

- Clique sur http://cjoint.com/?0LFbRjfXVt4

- Sur la page qui s'ouvre clic droit et Tout sélectionner

- Refais un clic droit et Copier

- Double clique sur ZHPFix qui est sur le bureau.

** Pour Vista et Seven fais un clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur

- Clique maintenant sur le H bleu Image (coller les lignes helper)

- Le texte copié dans le presse papiers s'affichera dans la fenêtre de ZHPFix

Image

- Clique sur Go patiente le temps du traitement

- Un rapport nommé ZHPFixReport.txt sera créé et sauvegardé sur le bureau poste son contenu dans ta prochaine réponse

Le rapport se trouve également dans c:\ZHP

** Redémarre ton PC et poste le rapport de ZHPFix


=====================================

Le rapport posté, passe a cette partie:

Télécharge CureIt Dr.Web (launch.exe)
ou ici encore


Il ne nécessite pas d'installation.

Tu le lances.

Il va te demander de faire un san en mode protection renforcée

Accepte et suis les instructions données par l'outil

A la fin du scan, tu mets tout en quarantaine et tu postes le rapport.
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: Cheval de Troie : TR/ATRAPS.Gen2 - Antivir ne supprime p

Messagepar monoceros » 31 Déc 2011 10:13

Je te poste le rapport ZHPFix :

Rapport de ZHPFix 1.12.3376 par Nicolas Coolman, Update du 20/12/2011
Fichier d'export Registre :
Run by Camille at 12/31/2011 10:07:23 AM
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-p ... hpfix.html

========== Valeur(s) du Registre ==========
SUPPRIME [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]:Shell

========== Dossier(s) ==========
SUPPRIME Reboot Folder**: C:\Users\Camille\AppData\Local\14ca631e


========== Récapitulatif ==========
1 : Valeur(s) du Registre
1 : Dossier(s)


End of clean in 00mn AMs

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 12/31/2011 10:07:23 AM [673]
monoceros
 
Messages: 11
Inscription: 25 Déc 2011 22:33

Re: Cheval de Troie : TR/ATRAPS.Gen2 - Antivir ne supprime p

Messagepar monoceros » 31 Déc 2011 10:49

Aucun virus détecté à la fin du scan CureIt Dr.Web !

Je commence à désespérer ... :(
monoceros
 
Messages: 11
Inscription: 25 Déc 2011 22:33

Re: Cheval de Troie : TR/ATRAPS.Gen2 - Antivir ne supprime p

Messagepar zaede » 31 Déc 2011 18:26

Bonjour monoceros



Télécharge ESET Online Scanner sur ton Bureau en cliquant sur ce lien:

- Double-clique sur le fichier esetsmartinstaller_enu.exe présent sur ton Bureau pour installer le scanner.
Attention: si tu disposes de Windows VISTA, clique droit sur esetsmartinstaller_enu.exe puis sélectionne "exécuter en tant qu'administrateur"
- Accepte la licence en cochant la case "YES, i accept the terms of use", puis clique sur le bouton "Start"
- Une fois le scanner installé, configure-le en décochant la case "Remove found threats" et en cochant la case "Scan archives"

- Lance la recherche antivirale en cliquant sur le bouton "Start":
l'outil se met à jour puis lance le scan: une barre de progression indique où en est la recherche
- Quand le scan est terminé, si des virus ont été détectés, clique sur la ligne "List of found threats":
- Une nouvelle fenêtre apparaît:
clique sur "Export to text file" et enregistre le rapport sur ton Bureau en le nommant logESET.txt
- Clique sur le bouton "Back" pour retourner à l'interface précédente, puis coche la case "Uninstall application on close"
- Clique enfin sur le bouton "Finish" puis ferme la fenêtre du scanner
[*] Ouvre le fichier logESET sur ton Bureau et copie-colle son contenu dans ta prochaine réponse
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: Cheval de Troie : TR/ATRAPS.Gen2 - Antivir ne supprime p

Messagepar monoceros » 01 Jan 2012 23:57

Hey,

Voilà le rapport concernant ce scanne :

C:\ZHP\Quarantine\14ca631e.DIR\X Win64/Sirefef.N trojan
C:\ZHP\Quarantine\14ca631e.DIR\U\80000000.@ Win64/Sirefef.P trojan
C:\ZHP\Quarantine\14ca631e.DIR\U\800000cb.@ Win64/Sirefef.M trojan
C:\ZHP\Quarantine\14ca631e.DIR\U\800000cf.@ Win64/Sirefef.O trojan
monoceros
 
Messages: 11
Inscription: 25 Déc 2011 22:33

Re: Cheval de Troie : TR/ATRAPS.Gen2 - Antivir ne supprime p

Messagepar zaede » 02 Jan 2012 18:45

Bonsoir monoceros, c'est ok , ce sont les données mises en quarantaine par ZHPFix

Tu as encore des soucis?
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: Cheval de Troie : TR/ATRAPS.Gen2 - Antivir ne supprime p

Messagepar monoceros » 02 Jan 2012 20:58

Salut Zaede !

C'est vrai que maintenant je n'ai plus l'apparition de page web mediashifting :)

Maintenant pour le pare feu je pense ré-installer le SP1 de windows 7, j'espere que ça va résoudre mon problème !!

Sinon est ce que maintenant je peux supprimer les virus mis en quarantaine ??

Je te remercie bcp pour ton aide ;)
monoceros
 
Messages: 11
Inscription: 25 Déc 2011 22:33

Re: Cheval de Troie : TR/ATRAPS.Gen2 - Antivir ne supprime p

Messagepar zaede » 03 Jan 2012 16:28

Bonjour monoceros, tu peux essayer cette solution pour le parefeu
La quarantaine peut etre vidé aussi

- On va maintenant procéder au nettoyage des outils téléchargés.

- Télécharge DelFix (d'Xplode) sur ton bureau :

- Lance le et clique sur Recherche

- Le scan fini clique sur Suppression

- Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )

Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation.
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: Cheval de Troie : TR/ATRAPS.Gen2 - Antivir ne supprime p

Messagepar monoceros » 03 Jan 2012 22:37

Voilà le rapport de DelFix :

# DelFix v8.7 - Rapport créé le 03/01/2012 à 22:35:49
# Mis à jour le 01/12/11 à 20h par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Camille - CAMILLE-PC (Administrateur)
# Exécuté depuis : C:\Users\Camille\Desktop\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\ZHP
Supprimé : C:\Users\Camille\DoctorWeb
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Program Files (x86)\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\Users\Camille\Desktop\esetsmartinstaller_enu.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\IDAVLab
Clé Supprimée : HKLM\SOFTWARE\IDAVLab
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DWPROT

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[R1].txt - [1041 octets] - [03/01/2012 22:35:22]
DelFix[S1].txt - [1006 octets] - [03/01/2012 22:35:49]

########## EOF - C:\DelFix[S1].txt - [1130 octets] ##########
monoceros
 
Messages: 11
Inscription: 25 Déc 2011 22:33

Re: Cheval de Troie : TR/ATRAPS.Gen2 - Antivir ne supprime p

Messagepar zaede » 06 Jan 2012 22:29

Bonsoir monoceros, si tu n'as plus de soucis, tu peux passer en résolu

Edite le premier post et ajoute (Résolu) derriere le titre
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53


Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités