TR/Downloader.GEN Fermé

Question

Bonjour,
J'ai chopé ce virus et n'arrive pas à trouver comment m'en debarasser , je fonctionne avec Vista et ai Avira comme antivirus . Quand je lance Battlfield 2142 j'ai une annonce de securité de Avira qui me dit que le ficher est infecté par : TR/Dowloader.gen  et quand je le place en quarantaine cela me supprime mon exe de BAttlefield . Si je reinstale ce dernier , TR/dowloadeur revient se placer dedans avec l'exe .  
Je fais une desactivation du contrôle de compte utilisateur et je poste un scan de Hijackthis plus bas . Si quelqu'un peut m'aider à trouver une solution pour m'en debarrasser merci d'avance . 




R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [ASUSGamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [WinPatrol] C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [WindowsLivePhone] C:\Program Files\Windows Live\Device Manager\msgrdvmn.exe /AutoRun
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [WindowsLivePhone] "C:\Program Files\Windows Live\Device Manager\msgrdvmn.exe" /AutoRun
O4 - HKCU\..\Run: [AutoStartNPSAgent] C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: UltimateBet - {94148DB5-B42D-4915-95DA-2CBB4F7095BF} - C:\Program Files\UltimateBet\UltimateBet.exe
O9 - Extra 'Tools' menuitem: UltimateBet - {94148DB5-B42D-4915-95DA-2CBB4F7095BF} - C:\Program Files\UltimateBet\UltimateBet.exe
O13 - Gopher Prefix: 
O16 - DPF: {04CB5B64-5915-4629-B869-8945CEBADD21} (Module de délivrance de certificat MINEFI) - https://static.impots.gouv.fr/abos/static/securite/certdgi1.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ASDR - Unknown owner - C:\Windows\System32\ASDR.exe
O23 - Service: ATK Fast User Switch Service (ATKFUSService) - ASUSTeK COMPUTER INC. - C:\Windows\system32\ATKFUSService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FsUsbExService - Teruten - C:\Windows\system32\FsUsbExService.Exe
O23 - Service: Google Desktop Manager 5.7.802.22438 (GoogleDesktopManager-022208-143751) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32
vvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

fabul · Answer

Fais donc analyser le fichier ici:https://www.virustotal.com/gui/

et poste le lien de l'analyse

Eurebus · Answer

Merci de me repondre mais je ne comprend pas bien la reponse , tu me dis de faire analyser le ficher mais il est en quarantaine et donc je ne peux pas le faire analyser ... Si je le restaure je ne le trouve pas pourtant dessute Avira me dit que le fichier de Battle.exe est infecté . j'ai beau le chercher je ne le trouve pas .

fabul · Answer

tu peux restaurer Affichage/Administration/Quarantaine/ restaurer apprès il me semble,tu peux le mettre sur ton bureau,tant que tu ne l'execute pas,il n'y a pas de risque.ferme le guard d'antivir le temps de l'analyser.

Eurebus · Answer

je crois peut être avoir trouvé ce qui cloche en analysant :  viradd virsiz rawdsiz ntrpy md5
 je te post le rapport total mais j'ai vu ça qui me semble louche dedans . 


Information additionnelle 
File size: 390408 bytes 
MD5...: b80c114f2c0a93063e450992e841f770 
SHA1..: 8b16b32c178fd5e9dd884ae212ad05bd51a057ce 
SHA256: 4f9f3187a392e5e2f3f637a4d9aa87cea8bf2f4975bbb878bab59ce68a2fc424 
ssdeep: 6144:QKA0eI3LencpU3NAWwTdFVZwSlrqu6ohVV3MBXMha:pAvAWCzju0hIpT
 
PEiD..: - 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1a75d
timedatestamp.....: 0x471cd069 (Mon Oct 22 16:31:37 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2fb84 0x30000 6.60 93727b8c36f44fb6579d23a764a086c8
.rdata 0x31000 0xa09c 0xb000 4.71 bbb59289b51debdc45fb887f6539427d
.data 0x3c000 0x645c 0x3000 2.96 71c84ebfbc252882ec905d9ac2507cdf
.rsrc 0x43000 0x1e624 0x1f000 2.90 4ab9e0082e4f1c91d5b63bc55fae4b2e

( 9 imports ) 
> KERNEL32.dll: GetFileAttributesA, GetFileTime, RtlUnwind, HeapFree, VirtualAlloc, HeapAlloc, HeapReAlloc, GetCommandLineA, GetProcessHeap, GetStartupInfoA, RaiseException, ExitProcess, HeapSize, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, GetACP, LCMapStringA, LCMapStringW, Sleep, SetHandleCount, GetStdHandle, GetUserDefaultLCID, EnumSystemLocalesA, IsValidLocale, IsValidCodePage, GetStringTypeA, GetStringTypeW, HeapDestroy, HeapCreate, VirtualFree, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, QueryPerformanceCounter, GetTickCount, GetSystemTimeAsFileTime, GetTimeZoneInformation, GetConsoleCP, GetConsoleMode, SetStdHandle, GetLocaleInfoW, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, SetEnvironmentVariableA, FileTimeToLocalFileTime, SetErrorMode, WritePrivateProfileStringA, FileTimeToSystemTime, GetOEMCP, GetCPInfo, InterlockedIncrement, TlsFree, DeleteCriticalSection, LocalReAlloc, TlsSetValue, TlsAlloc, InitializeCriticalSection, GlobalHandle, GlobalReAlloc, EnterCriticalSection, TlsGetValue, LeaveCriticalSection, LocalAlloc, GlobalFlags, CreateFileA, GetFullPathNameA, GetVolumeInformationA, FindFirstFileA, FindClose, GetCurrentProcess, DuplicateHandle, GetThreadLocale, GetFileSize, SetEndOfFile, UnlockFile, LockFile, FlushFileBuffers, SetFilePointer, WriteFile, ReadFile, InterlockedDecrement, GetModuleFileNameW, GetCurrentProcessId, CloseHandle, GetCurrentThread, ConvertDefaultLocale, GetModuleFileNameA, EnumResourceLanguagesA, GetLocaleInfoA, lstrcmpA, GlobalAlloc, FormatMessageA, LocalFree, MulDiv, GetCurrentThreadId, GlobalGetAtomNameA, GlobalAddAtomA, GlobalFindAtomA, GlobalDeleteAtom, FreeLibrary, LoadLibraryA, SetLastError, lstrcmpW, GetProcAddress, GetVersionExA, GlobalLock, GlobalUnlock, GlobalFree, FreeResource, GetLastError, lstrlenA, CompareStringA, CompareStringW, MultiByteToWideChar, GetVersion, InterlockedExchange, GetCurrentDirectoryA, FindResourceExA, GetUserDefaultLangID, GetModuleHandleA, LoadResource, LockResource, SizeofResource, FindResourceA, GetFileType, WideCharToMultiByte
> USER32.dll: DestroyMenu, LoadCursorA, GetSysColorBrush, EndPaint, BeginPaint, ReleaseDC, GetDC, ClientToScreen, GrayStringA, DrawTextExA, DrawTextA, TabbedTextOutA, GetWindowThreadProcessId, SetCursor, GetMessageA, TranslateMessage, GetCursorPos, ValidateRect, PostQuitMessage, ShowWindow, SetWindowTextA, IsDialogMessageA, SetMenuItemBitmaps, GetMenuCheckMarkDimensions, LoadBitmapA, ModifyMenuA, EnableMenuItem, CheckMenuItem, RegisterWindowMessageA, WinHelpA, GetCapture, SetWindowsHookExA, CallNextHookEx, GetClassLongA, GetClassNameA, SetPropA, GetPropA, RemovePropA, GetFocus, SetFocus, GetWindowTextLengthA, GetWindowTextA, GetForegroundWindow, GetLastActivePopup, DispatchMessageA, GetTopWindow, UnhookWindowsHookEx, GetMessageTime, GetMessagePos, PeekMessageA, MapWindowPoints, GetKeyState, IsWindowVisible, UpdateWindow, GetClientRect, GetMenu, GetSubMenu, EnableWindow, LoadImageA, MessageBoxA, LoadIconA, SetActiveWindow, SetForegroundWindow, GetMenuItemID, GetMenuItemCount, CreateWindowExA, GetClassInfoExA, GetClassInfoA, RegisterClassA, GetSysColor, AdjustWindowRectEx, CopyRect, UnregisterClassA, PtInRect, GetMenuState, SendMessageA, PostMessageA, InvalidateRect, CharUpperA, EndDialog, GetNextDlgTabItem, GetParent, IsWindowEnabled, GetDlgItem, GetWindowLongA, IsWindow, DestroyWindow, CreateDialogIndirectParamA, GetSystemMetrics, GetActiveWindow, GetDlgCtrlID, DefWindowProcA, CallWindowProcA, SetWindowLongA, SetWindowPos, SystemParametersInfoA, IsIconic, GetWindowPlacement, GetWindowRect, GetWindow, GetDesktopWindow, SendDlgItemMessageA
> GDI32.dll: DeleteDC, GetStockObject, ScaleWindowExtEx, SetWindowExtEx, ScaleViewportExtEx, SetViewportExtEx, OffsetViewportOrgEx, SetViewportOrgEx, SelectObject, Escape, ExtTextOutA, TextOutA, RectVisible, PtVisible, DeleteObject, SetMapMode, RestoreDC, SaveDC, GetDeviceCaps, CreateBitmap, GetObjectA, SetBkColor, SetTextColor, GetClipBox
> comdlg32.dll: GetFileTitleA
> WINSPOOL.DRV: ClosePrinter, DocumentPropertiesA, OpenPrinterA
> ADVAPI32.dll: RegQueryValueA, RegEnumKeyA, RegOpenKeyA, RegCloseKey, RegDeleteKeyA, RegEnumKeyExA, RegOpenKeyExA, RegQueryValueExA, RegCreateKeyExA, RegSetValueExA
> COMCTL32.dll: -
> SHLWAPI.dll: PathFindFileNameA, PathStripToRootA, PathFindExtensionA, PathIsUNCA
> OLEAUT32.dll: -, -, -

( 0 exports ) 
 
RDS...: NSRL Reference Data Set
- 
pdfid.: - 
trid..: Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%) 
sigcheck:
publisher....: Electronic Arts
copyright....: Electronic Arts, Inc.
product......: n/a
description..: Unified Registration code installer program
original name: n/a
internal name: n/a
file version.: 1.07.08.02
comments.....: n/a
signers......: Electronic Arts
VeriSign Class 3 Code Signing 2004 CA
Class 3 Public Primary Certification Authority
signing date.: 3:19 AM 11/7/2007
verified.....: -

fabul · Answer

si tu avait posté l'url du résultat de l'analyse

Eurebus · Answer

voici : http://www.virustotal.com/fr/analisis/e6cc76cb52840f2e6d274b5e91851a9ffb9bf7f95f9c831562929ef4076a8589-1254755022

fabul · Answer

ce n'est pas le fichier dont tu parlais plus tot,

c'est Battlefield_2142_uninst.exe

le désinstalleur de Battlefield.

si virustotal te dit que le fichier a déja été analisé,choisit réanalyser maintenant.

Eurebus · Answer

ré analyse :
http://www.virustotal.com/fr/analisis/e6cc76cb52840f2e6d274b5e91851a9ffb9bf7f95f9c831562929ef4076a8589-1254755839

fabul · Answer

encore le mauvais fichier

c'est Battle.exe qu'il faut que tu analyse,pas Battlefield_2142_uninst.exe

eurebus · Answer

voila , j'ai fais les Opé decrites plus haut et c'est toujours pareil j'ai ce fichu Tr/Downloader.gen qui reaparait pendant l'instalation de Battlfield.exe et quand je vais dans le dossier ou il doit être je ne trouve pas l'exe . si je l'envoie en quarantaine je n'ai pas de fichier qui disparait de mon dossier mais je ne peux plus acceder au jeu puisque plus d'exe. Bref c'est le bordel. Fabul si tu as encore un peu de temps à m'accorder je suis perneur et deja merci pour le debut de ton aide .

fabul · Answer

si c'est un jeu sur un disque original,ferme antivir guard durant le temps de l'installation,installe le jeu,

ouvre antivir,va dans outils/configuration/coche mode expert/Guard/Exceptions

met le exe comme object a exclure.

eurebus · Answer

Non c'est un jeu en telechargement par EA downloadeur Manager

fabul · Answer

si ça vient de EA,je pense qu'on peut dire que c'est l'original,qu'est ce que tu en dit?

envoie le fichier a Avira,et attend leur réponse si tu veux.

If you think our scanner has detected a clean file by mistake please select "False positive suspicion" from the drop down menu above

	
Si vous pensez que notre scanner a détecté un fichier par erreur, s'il vous plaît sélectionnez "False positive suspicion" dans le menu déroulant ci-dessus

http://analysis.avira.com/samples/

eurebus · Answer

je pense que tu as  raison et c'est pour cela que je ne comprend rien . Comme je l'avais completement desinstalé avec Ccleaner ensuite j'ai fais un scan complet avec Avira et j'ai trouvé 6saloperies de plus sur le PC . Des trojans . qui sont en quarantaine et supprimés . j'ai donc re"installé le game et tout va bien puisqu'il se lance et que je n'ai pas d'alerte Avira sur l'exe . Je ne sais pas comment c'est venu ""( ne laissez pas vos femmes toucher à vos PC )"" ni trop comment c'est reparti mais j'ai l'impression que c'est clean . Je te remercie enormement pour ta patience et remercie tous ceux qui repondent sur ces forums . 
Merci Fabul .

eurebus · Answer

je suis vraiment un boulet , je ne trouve pas ou on coche : resolu...:(

TR/Downloader.GEN

15 réponses

Discussions similaires