Virus "trojandownloader:win32/Small.gen!I&quo Résolu

Question

Bonjour,

J'ai cliqué par inadvertance sur un lien reçu par MSN messenger qui m'a fait télécharger un trojan nommé trojandownloader:win32/Small.gen!I . Windows defender a détecté ce virus sur mon ordinateur. Il me propose de le supprimer, ce que je fais, mais rien à faire, l'alerte revient. De surcroît mon antivirus avast ne le détecte pas...
Je suis ,de plus, contagieux. Et lorsque je me connecte à MSN messenger, j'envoie à mon tour ce lien indésirable sans le savoir à tous mes contacts.

Toute aide serait la bienvenue pour résoudre ce problème. 

Kayv

Xplode · Answer

Salut, fais ceci pour un diagnostic complet du PC :

-+-+-+-> ZHPDiag <-+-+-+-


[x] Télécharge ZHPDiag ( de Nicolas coolman ).

[x] Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

[x] Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau

[x] Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

[x] Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

[x] Rend toi sur www.cjoint.com

[x] Clique sur " Parcourir " dans la partie " Joindre un fichier[...] "

[x] Séléctionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

[x] Clique ensuite sur " Créer le lien cjoint " et copie/colle le dans ton prochain message

Utilisateur anonyme · Answer

bonjour,
Edit,
salut xplod et bonne chasse :-)

kayv · Answer

Bonjour, 
Voici le lien pour voir le rapport ZHD
https://www.cjoint.com/?kukEMStQPq

PS : mon ordinateur ne peut plus s'allumer en mode normal (quand le bureau devrait apparaître, l'ecran reste tout noir, seul la souris bouge). Pour installer ZHP j'ai du passer en mode sans echec.

Xplode · Answer

-+-+-+-> ZHPfix <-+-+-+-


[x] Relance ZHPDiag, fais un scan puis cette fois-ci cliques sur l'icone en forme d'écusson vert " ZHPFix ".

[x] ZHPFix se lancera, clique maintenant sur le " H " bleu ( coller les lignes helper ) puis copie/colle ce qui se trouve à ce lien :

https://www.cjoint.com/?kuq7l5sBvl

[x] Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

[x] Copie/Colle le rapport à l'écran dans ton prochain message

kayv · Answer

Voici ce qui est apparu sur mon écran après avoir fait le nettoyage avec ZHPFix. Je colle ici le rapport et je crée également un lien sur cjoint.com : https://www.cjoint.com/?kursWtvOAu

ZHPFix v1.12.16  by Nicolas Coolman - Rapport de suppression du 20/10/2009 17:11:35
Fichier d'export Registre : C:\ZHPExportRegistry-20-10-2009-17-11-35.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mÈmoire :
(NÈant)

Module mÈmoire :
(NÈant)

ClÈ du Registre :
O41 - Driver: ctengpgjiuytkac (ctengpgjiuytkac) - C:\Windows\system32\drivers
utmor.sys  => ClÈ supprimÈe avec succËs
O41 - Driver: thifidelgxctlhh (thifidelgxctlhh) - C:\Windows\system32\drivers\yihknieyfgfuurh.sys  => ClÈ supprimÈe avec succËs
O64 - Services: CurCS - ctengpgjiuytkac (ctengpgjiuytkac) - LEGACY_CTENGPGJIUYTKAC  => ClÈ supprimÈe avec succËs
O64 - Services: CurCS - rbkhdklbjo (rbkhdklbjo) - LEGACY_RBKHDKLBJO  => ClÈ supprimÈe avec succËs
O64 - Services: CurCS - thifidelgxctlhh (thifidelgxctlhh) - LEGACY_THIFIDELGXCTLHH  => ClÈ supprimÈe avec succËs
O64 - Services: CurCS - WCPU (WCPU) - LEGACY_WCPU  => ClÈ supprimÈe avec succËs
O64 - Services: CurCS - zpuzuq (zpuzuq) - LEGACY_ZPUZUQ  => ClÈ supprimÈe avec succËs
O64 - Services: CS002 - ctengpgjiuytkac (ctengpgjiuytkac) - LEGACY_CTENGPGJIUYTKAC  => ClÈ supprimÈe avec succËs
O64 - Services: CS002 - rbkhdklbjo (rbkhdklbjo) - LEGACY_RBKHDKLBJO  => ClÈ supprimÈe avec succËs
O64 - Services: CS002 - thifidelgxctlhh (thifidelgxctlhh) - LEGACY_THIFIDELGXCTLHH  => ClÈ supprimÈe avec succËs
O64 - Services: CS002 - WCPU (WCPU) - LEGACY_WCPU  => ClÈ supprimÈe avec succËs
O64 - Services: CS002 - zpuzuq (zpuzuq) - LEGACY_ZPUZUQ  => ClÈ supprimÈe avec succËs

Xplode · Answer

Il est pas entier, il manque un bout, tu as bien descendu avec la barre à droite pour tout séléctionner ?

kayv · Answer

Effectivement, il semble qu'il manquait une partie. J'ai donc refait toutes les étapes sur ZHPFix et le rapport à un peu changé (notamment avec des clé absente dans "clé de registre"). Je colle le rapport et crée un lien sur cjoint.com : https://www.cjoint.com/?kus6DQH8fR

ZHPFix v1.12.16  by Nicolas Coolman - Rapport de suppression du 20/10/2009 18:52:00
Fichier d'export Registre : C:\ZHPExportRegistry-20-10-2009-18-52-00.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mÈmoire :
(NÈant)

Module mÈmoire :
(NÈant)

ClÈ du Registre :
O64 - Services: CurCS - ctengpgjiuytkac (ctengpgjiuytkac) - LEGACY_CTENGPGJIUYTKAC  => ClÈ absente
O64 - Services: CurCS - rbkhdklbjo (rbkhdklbjo) - LEGACY_RBKHDKLBJO  => ClÈ absente
O64 - Services: CurCS - thifidelgxctlhh (thifidelgxctlhh) - LEGACY_THIFIDELGXCTLHH  => ClÈ absente
O64 - Services: CurCS - WCPU (WCPU) - LEGACY_WCPU  => ClÈ supprimÈe avec succËs
O64 - Services: CurCS - zpuzuq (zpuzuq) - LEGACY_ZPUZUQ  => ClÈ absente
O64 - Services: CS002 - ctengpgjiuytkac (ctengpgjiuytkac) - LEGACY_CTENGPGJIUYTKAC  => ClÈ absente
O64 - Services: CS002 - rbkhdklbjo (rbkhdklbjo) - LEGACY_RBKHDKLBJO  => ClÈ absente
O64 - Services: CS002 - thifidelgxctlhh (thifidelgxctlhh) - LEGACY_THIFIDELGXCTLHH  => ClÈ absente
O64 - Services: CS002 - WCPU (WCPU) - LEGACY_WCPU  => ClÈ supprimÈe avec succËs
O64 - Services: CS002 - zpuzuq (zpuzuq) - LEGACY_ZPUZUQ  => ClÈ absente

Valeur du Registre :
O4 - HKLM\..\Run: [Microsoft Update] livemessenger.com  => Valeur absente
O4 - HKLM\..\Run: [calc] rundll32.exe C:\Windows\system32\calc.dll,_IWMPEvents@0  => Valeur supprimÈe avec succËs
O47 - AAKE:Key Export SP - "C:\Users\Kevin\AppData\Local\Temp\IXP000.TMP\msn.exe"="C:\Users\Kevin\AppData\Local\Temp\IXP000.TMP\msn.exe:*:Enabled:Microsoft Update"  => Valeur absente

ElÈment de donnÈes du Registre :
(NÈant)

Dossier :
(NÈant)

Fichier :
livemessenger.com  => Fichier absent
O4 - Startup: scandisk.dll  => SupprimÈ et mis en quarantaine
c:\windows\system32undll32.exe  => Fichier supprimÈ au reboot
c:\windows\system32\calc.dll  => SupprimÈ et mis en quarantaine
c:\windows	asks\at8.job  => SupprimÈ et mis en quarantaine
c:\windows	asks\at9.job  => SupprimÈ et mis en quarantaine
c:\windows\livemessenger.com  => Fichier absent
c:\windows\system32thdvcpl .exe  => Fichier absent
c:\windows\system32\drivers\str.sys  => Fichier absent
c:\windows\system32\livemessenger .exe  => Fichier absent
c:\windows\system32\calc.dll  => Fichier absent
c:\windows\system32\fck9jtfy7j.dll  => Fichier absent
c:\windows\system32\abhr8.dll  => Fichier absent
c:\windows\system32\lvp7la.dll  => Fichier absent
c:\windows\system32\drivers\yihknieyfgfuurh.sys  => Fichier absent
c:\windows\system32\g29q24xj1d.dll  => Fichier absent
c:\windows\system32\dmtvp.dll  => Fichier absent
c:\windows\system32\drivers
utmor.sys  => Fichier absent

Logiciel :
(NÈant)

Script Registre :
(NÈant)

Autre :
(NÈant)


RÈcapitulatif :
Processus mÈmoire : 0
Module mÈmoire : 0
ClÈ du Registre : 10
Valeur du Registre : 3
ElÈment de donnÈes du Registre : 0
Dossier : 0
Fichier : 18
Logiciel : 0
Autre : 0


End of the scan

Xplode · Answer

Ok, refais un ZHPDiag stp

kayv · Answer

Voici le lien pour le second ZHPDiag : https://www.cjoint.com/?kutHQt8hEn

Xplode · Answer

Ok, désinstalle PDFToolbar ( ou un truc similaire, genre PDFforge toolbar ) , puis relance ZHPFix et éxecutes les mêmes opérations avec ce lien :

https://www.cjoint.com/?kut2jWdaGt

kayv · Answer

J'ai désinstallé pdfforge toolbar v1.1 (du moins, il n'apparaît plus dans "programmes et fonctionnalités"). J'ai ensuite fait un nouveau ZHPDiag+ZHPFix avec les corrections à apporter et le rapport de ce dernier se trouve à l'adresse suivante : https://www.cjoint.com/?kuvsK7FpWs puis j'ai ensuite refait un rapport ZHPDiag qui se trouve à l'adresse suivante : https://www.cjoint.com/?kuvuomulNT

kayv · Answer

PS : pourrais m'expliquer les étapes que l'on fait afin que je comprenne un peu ce que je réalise, ce que je supprime et pour quoi je le fais ?

Xplode · Answer

On est en train d'essayer de virer la saletée qui traine sur ton PC, et je vois qu'elle est revenue.. 

Réexecute ZHPFix avec ce lien :

https://www.cjoint.com/?kuvKE4of8n

Puis poste le rapport.

Ensuite fais ceci ->

-+-+-+-+-> ComboFix <-+-+-+-


[x] Télécharge ComboFix ( de sUBs ) à cette adresse.

[x] /!\ Fermez toutes les fenêtres de programme ouvertes /!\

[x] /!\ Désactivez toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\

[x] Double clique sur " Combofix.exe "

[x] Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le

[x] Combofix va maintenant déconnecter ton PC d'internet

[x] Pendant le scan, ne touche à rien ( souris, clavier )

[x] A la fin du scan, le rapport s'ouvrira automatiquement, copie/colle le dans ton prochain message.

[o] Nb : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt

kayv · Answer

Je n'arrive pas à désactiver avast quand je suis en mode sans echec. Je suis obligé de passer par le mode sans echec car en passage par ma session normal trop de fenêtres d'erreur s'ouvrent et combofix ne se réalise pas correctement et fait bugger l'ordinateur lors de l'ouverture d'une page du bloc-note (sans doute celle du rapport et celle-ci n'est pas enregistrée dans combofix.txt.
J'ai désactivé le lancement d'avast au démarrage en passant par msconfig et j'ai également désactivé les programmes d'avast (4 an tout) en passant par services.msc. Mais lorsque je lance combofix en mode sans echec il me dit qu'il a détecté que les serveurs en temps réel suivants sont actifs : 
antivirus : avast! antivirus 4.8.1351 (VPS 091012-0)
antispyware : avast! antivirus 4.8.1351 (VPS 091012-0)

Comment les desactiver avec windows mode sans echec ?

kayv · Answer

Voici le test ZHPFix réaliser avant d'avoir lancé combofix : https://www.cjoint.com/?kuxAXzaQsa et le rapport que j'ai refait, après avoir redémarré l'ordinateur, avec ZHPDiag : https://www.cjoint.com/?kuxCydZBsl

kayv · Answer

Voici le test ZHPFix réaliser avant d'avoir lancé combofix : https://www.cjoint.com/?kuxAXzaQsa et le rapport que j'ai refait, après avoir redémarré l'ordinateur, avec ZHPDiag : https://www.cjoint.com/?kuxCydZBsl

Xplode · Answer

C'est bon, on a réussi a les éliminer, pas besoin de combofix.

Fais ceci maintenant :

-+-+-+-> Malwarebyte's Anti-Malware <-+-+-+-


[x] Télécharge Malwarebyte's anti-malware (MBAM) à cette adresse : http://www.malwarebytes.org/mbam/program/mbam-setup.exe

[x] Installe le.

[x] Met le à jour.

[x] Lance un scan complet !

[x] Coche bien tout les éléments trouvés et supprime les !

[x] Un tutoriel pour son utilisation est disponible ici : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

[x] Suis les indications données sur le lien précédent puis copie/colle le rapport généré dans ton prochain message

kayv · Answer

Voici le rapport fait après la suppression des fichiers infectés avec Malwarebytes, juste avant de redémarrer mon ordinateur pour terminer la suppression : https://www.cjoint.com/?kwbjIjQOIu

Xplode · Answer

Bien, refais maintenant un ZHPDIag

kayv · Answer

Voici le rapport ZHPDiag : https://www.cjoint.com/?kwlQFAFaIb

Xplode · Answer

-+-+-+-+-> ComboFix <-+-+-+-


[x] Télécharge ComboFix ( de sUBs ) à cette adresse.

[x] /!\ Fermez toutes les fenêtres de programme ouvertes /!\

[x] /!\ Désactivez toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\

[x] Double clique sur " Combofix.exe "

[x] Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le

[x] Combofix va maintenant déconnecter ton PC d'internet

[x] Pendant le scan, ne touche à rien ( souris, clavier )

[x] A la fin du scan, le rapport s'ouvrira automatiquement, copie/colle le dans ton prochain message.

[o] Nb : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt

Xplode · Answer

-+-+-+-> CFScript <-+-+-+-


[x] Crée un nouveau fichier texte ( .txt ) 

[x] Copie/Colle ceci dedans :


File::
C:\wcwttrvb.exe
C:\cjxlq.exe
C:\wduaay.exe
C:\Users\Kevin\AppData\Roaming
vModes.dat
C:\Windows\system32\ezsidmv.dat



[x] Puis enregistre le en CFScript.txt  sur ton bureau

[x] Fais glisser le fichier CFScript.txt sur l'icone de ComboFix.

[x] Combofix effectuera la tache demandée dans le script, puis ouvrira un rapport.

[x] Copie/Colle son contenu dans ton prochain message

Nb : Le rapport est sauvegardé sous C:\Combofix.txt

Xplode · Answer

Bien, refais maintenant un ZHPDiag

Xplode · Answer

A désinstaller ->

Pdfforge toolbar


Comment se porte le PC ?

kayv · Answer

Je ne sais pas vraiment. Comme j'ai désinstaller avast, les alertes ne bloquent plus le pc mais je ne sais pas vraiment comment il va... De plus, j'avais déjà désinstaller pdfforge tollbar depuis le mode sans echec...

Xplode · Answer

C:\Program Files\pdfforge Toolbar    

---> A supprimer manuellement.

Installe antivir ( tu le trouveras sur le site )

Tutoriel pour le configurer -> https://www.commentcamarche.net/faq/16831-tutoriel-configuration-optimale-d-antivir-personal

Fais ensuite un scan et poste le rapport.

kayv · Answer

je n'arrive pas a l'installer, il tourne en rond à l'installation en cours de preparation

Xplode · Answer

Essaie de l'installer en mode sans echec

kayv · Answer

c'est pareil

Xplode · Answer

Bien, refais un nouveau ZHPDiag

Xplode · Answer

Bien, plus d'infections. Tu peux supprimer les fichiers en quarantaines.

J'ai juste un dernier petit doute, après ceci on passera au nettoyage + optimisation :

-+-+-+-> VirusTotal <-+-+-+-


[x] Rends-toi sur VirusTotal

[x] Clique sur " Parcourir " puis séléctionne ce fichier :C:\Windows\System32\acovcnt.exe 

[x] Clique ensuite sur " Envoyer le fichier "

[x] Patiente pendant le scan, puis poste le rapport à l'écran ( liste des antivirus + info complémentaires )

Xplode · Answer

Ok c'est bon, on peut passer au nettoyage :

1 - Nettoyage :

- Télécharge ATF-Cleaner

- Suis le tutoriel disponible à cette adresse

- Renouvelle l'opération régulièrement

-----------------

-+-+-+-> Tools Cleaner <-+-+-+-


[o] Afin de supprimer tout les logiciels qui ont été utilisés pour ta désinfection,

[o] Télécharge ToolsCleaner sur ton bureau à cette adresse : https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/

[o] Double-clique sur « Toolscleaner.exe »

[o] Clique sur "restauration" pour créer un point de restauration.

[o] Puis clique sur « recherche »

[o] Quand la recherche sera terminée, clique sur "suppression".

[o] A la fin (il y aura des indications dans le cadre en-dessous), clique sur "quitter" et poste le rapport qui se trouve dans C:\Tcleaner.txt

kayv · Answer

Voici : https://www.cjoint.com/?kztbWnRNap

Est ce que je peux supprimer tous les rapports des logiciels utiliser pour nettoyer mon ordi ?

Xplode · Answer

Oui tu peux, supprime aussi toolscleaner maintenant.

Et met ton post en résolu si tu estimes ne plus avoir de soucis

Virus "trojandownloader:win32/Small.gen!I&quo

34 réponses

Votre réponse

Discussions similaires

Newsletters