Virus "trojandownloader:win32/Small.gen!I&quo [Résolu/Fermé]

Signaler
Messages postés
25
Date d'inscription
dimanche 18 octobre 2009
Statut
Membre
Dernière intervention
25 octobre 2009
-
Messages postés
25
Date d'inscription
dimanche 18 octobre 2009
Statut
Membre
Dernière intervention
25 octobre 2009
-
Bonjour,

J'ai cliqué par inadvertance sur un lien reçu par MSN messenger qui m'a fait télécharger un trojan nommé trojandownloader:win32/Small.gen!I . Windows defender a détecté ce virus sur mon ordinateur. Il me propose de le supprimer, ce que je fais, mais rien à faire, l'alerte revient. De surcroît mon antivirus avast ne le détecte pas...
Je suis ,de plus, contagieux. Et lorsque je me connecte à MSN messenger, j'envoie à mon tour ce lien indésirable sans le savoir à tous mes contacts.

Toute aide serait la bienvenue pour résoudre ce problème.

Kayv

34 réponses

Messages postés
8819
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
722
Salut, fais ceci pour un diagnostic complet du PC :

-+-+-+-> ZHPDiag <-+-+-+-


[x] Télécharge ZHPDiag ( de Nicolas coolman ).

[x] Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

[x] Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau

[x] Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

[x] Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

[x] Rend toi sur www.cjoint.com

[x] Clique sur " Parcourir " dans la partie " Joindre un fichier[...] "

[x] Séléctionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

[x] Clique ensuite sur " Créer le lien cjoint " et copie/colle le dans ton prochain message

bonjour,
Edit,
salut xplod et bonne chasse :-)
Messages postés
25
Date d'inscription
dimanche 18 octobre 2009
Statut
Membre
Dernière intervention
25 octobre 2009

Bonjour,
Voici le lien pour voir le rapport ZHD
https://www.cjoint.com/?kukEMStQPq

PS : mon ordinateur ne peut plus s'allumer en mode normal (quand le bureau devrait apparaître, l'ecran reste tout noir, seul la souris bouge). Pour installer ZHP j'ai du passer en mode sans echec.
Messages postés
8819
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
722
-+-+-+-> ZHPfix <-+-+-+-


[x] Relance ZHPDiag, fais un scan puis cette fois-ci cliques sur l'icone en forme d'écusson vert " ZHPFix ".

[x] ZHPFix se lancera, clique maintenant sur le " H " bleu ( coller les lignes helper ) puis copie/colle ce qui se trouve à ce lien :

https://www.cjoint.com/?kuq7l5sBvl

[x] Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

[x] Copie/Colle le rapport à l'écran dans ton prochain message
Messages postés
25
Date d'inscription
dimanche 18 octobre 2009
Statut
Membre
Dernière intervention
25 octobre 2009

Voici ce qui est apparu sur mon écran après avoir fait le nettoyage avec ZHPFix. Je colle ici le rapport et je crée également un lien sur cjoint.com : https://www.cjoint.com/?kursWtvOAu

ZHPFix v1.12.16 by Nicolas Coolman - Rapport de suppression du 20/10/2009 17:11:35
Fichier d'export Registre : C:\ZHPExportRegistry-20-10-2009-17-11-35.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mÈmoire :
(NÈant)

Module mÈmoire :
(NÈant)

ClÈ du Registre :
O41 - Driver: ctengpgjiuytkac (ctengpgjiuytkac) - C:\Windows\system32\drivers\nutmor.sys => ClÈ supprimÈe avec succËs
O41 - Driver: thifidelgxctlhh (thifidelgxctlhh) - C:\Windows\system32\drivers\yihknieyfgfuurh.sys => ClÈ supprimÈe avec succËs
O64 - Services: CurCS - ctengpgjiuytkac (ctengpgjiuytkac) - LEGACY_CTENGPGJIUYTKAC => ClÈ supprimÈe avec succËs
O64 - Services: CurCS - rbkhdklbjo (rbkhdklbjo) - LEGACY_RBKHDKLBJO => ClÈ supprimÈe avec succËs
O64 - Services: CurCS - thifidelgxctlhh (thifidelgxctlhh) - LEGACY_THIFIDELGXCTLHH => ClÈ supprimÈe avec succËs
O64 - Services: CurCS - WCPU (WCPU) - LEGACY_WCPU => ClÈ supprimÈe avec succËs
O64 - Services: CurCS - zpuzuq (zpuzuq) - LEGACY_ZPUZUQ => ClÈ supprimÈe avec succËs
O64 - Services: CS002 - ctengpgjiuytkac (ctengpgjiuytkac) - LEGACY_CTENGPGJIUYTKAC => ClÈ supprimÈe avec succËs
O64 - Services: CS002 - rbkhdklbjo (rbkhdklbjo) - LEGACY_RBKHDKLBJO => ClÈ supprimÈe avec succËs
O64 - Services: CS002 - thifidelgxctlhh (thifidelgxctlhh) - LEGACY_THIFIDELGXCTLHH => ClÈ supprimÈe avec succËs
O64 - Services: CS002 - WCPU (WCPU) - LEGACY_WCPU => ClÈ supprimÈe avec succËs
O64 - Services: CS002 - zpuzuq (zpuzuq) - LEGACY_ZPUZUQ => ClÈ supprimÈe avec succËs
Messages postés
8819
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
722
Il est pas entier, il manque un bout, tu as bien descendu avec la barre à droite pour tout séléctionner ?
Messages postés
25
Date d'inscription
dimanche 18 octobre 2009
Statut
Membre
Dernière intervention
25 octobre 2009

Effectivement, il semble qu'il manquait une partie. J'ai donc refait toutes les étapes sur ZHPFix et le rapport à un peu changé (notamment avec des clé absente dans "clé de registre"). Je colle le rapport et crée un lien sur cjoint.com : https://www.cjoint.com/?kus6DQH8fR

ZHPFix v1.12.16 by Nicolas Coolman - Rapport de suppression du 20/10/2009 18:52:00
Fichier d'export Registre : C:\ZHPExportRegistry-20-10-2009-18-52-00.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mÈmoire :
(NÈant)

Module mÈmoire :
(NÈant)

ClÈ du Registre :
O64 - Services: CurCS - ctengpgjiuytkac (ctengpgjiuytkac) - LEGACY_CTENGPGJIUYTKAC => ClÈ absente
O64 - Services: CurCS - rbkhdklbjo (rbkhdklbjo) - LEGACY_RBKHDKLBJO => ClÈ absente
O64 - Services: CurCS - thifidelgxctlhh (thifidelgxctlhh) - LEGACY_THIFIDELGXCTLHH => ClÈ absente
O64 - Services: CurCS - WCPU (WCPU) - LEGACY_WCPU => ClÈ supprimÈe avec succËs
O64 - Services: CurCS - zpuzuq (zpuzuq) - LEGACY_ZPUZUQ => ClÈ absente
O64 - Services: CS002 - ctengpgjiuytkac (ctengpgjiuytkac) - LEGACY_CTENGPGJIUYTKAC => ClÈ absente
O64 - Services: CS002 - rbkhdklbjo (rbkhdklbjo) - LEGACY_RBKHDKLBJO => ClÈ absente
O64 - Services: CS002 - thifidelgxctlhh (thifidelgxctlhh) - LEGACY_THIFIDELGXCTLHH => ClÈ absente
O64 - Services: CS002 - WCPU (WCPU) - LEGACY_WCPU => ClÈ supprimÈe avec succËs
O64 - Services: CS002 - zpuzuq (zpuzuq) - LEGACY_ZPUZUQ => ClÈ absente

Valeur du Registre :
O4 - HKLM\..\Run: [Microsoft Update] livemessenger.com => Valeur absente
O4 - HKLM\..\Run: [calc] rundll32.exe C:\Windows\system32\calc.dll,_IWMPEvents@0 => Valeur supprimÈe avec succËs
O47 - AAKE:Key Export SP - "C:\Users\Kevin\AppData\Local\Temp\IXP000.TMP\msn.exe"="C:\Users\Kevin\AppData\Local\Temp\IXP000.TMP\msn.exe:*:Enabled:Microsoft Update" => Valeur absente

ElÈment de donnÈes du Registre :
(NÈant)

Dossier :
(NÈant)

Fichier :
livemessenger.com => Fichier absent
O4 - Startup: scandisk.dll => SupprimÈ et mis en quarantaine
c:\windows\system32\rundll32.exe => Fichier supprimÈ au reboot
c:\windows\system32\calc.dll => SupprimÈ et mis en quarantaine
c:\windows\tasks\at8.job => SupprimÈ et mis en quarantaine
c:\windows\tasks\at9.job => SupprimÈ et mis en quarantaine
c:\windows\livemessenger.com => Fichier absent
c:\windows\system32\rthdvcpl .exe => Fichier absent
c:\windows\system32\drivers\str.sys => Fichier absent
c:\windows\system32\livemessenger .exe => Fichier absent
c:\windows\system32\calc.dll => Fichier absent
c:\windows\system32\fck9jtfy7j.dll => Fichier absent
c:\windows\system32\abhr8.dll => Fichier absent
c:\windows\system32\lvp7la.dll => Fichier absent
c:\windows\system32\drivers\yihknieyfgfuurh.sys => Fichier absent
c:\windows\system32\g29q24xj1d.dll => Fichier absent
c:\windows\system32\dmtvp.dll => Fichier absent
c:\windows\system32\drivers\nutmor.sys => Fichier absent

Logiciel :
(NÈant)

Script Registre :
(NÈant)

Autre :
(NÈant)


RÈcapitulatif :
Processus mÈmoire : 0
Module mÈmoire : 0
ClÈ du Registre : 10
Valeur du Registre : 3
ElÈment de donnÈes du Registre : 0
Dossier : 0
Fichier : 18
Logiciel : 0
Autre : 0


End of the scan
Messages postés
8819
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
722
Ok, refais un ZHPDiag stp
Messages postés
25
Date d'inscription
dimanche 18 octobre 2009
Statut
Membre
Dernière intervention
25 octobre 2009

Voici le lien pour le second ZHPDiag : https://www.cjoint.com/?kutHQt8hEn
Messages postés
8819
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
722
Ok, désinstalle PDFToolbar ( ou un truc similaire, genre PDFforge toolbar ) , puis relance ZHPFix et éxecutes les mêmes opérations avec ce lien :

https://www.cjoint.com/?kut2jWdaGt
Messages postés
25
Date d'inscription
dimanche 18 octobre 2009
Statut
Membre
Dernière intervention
25 octobre 2009

J'ai désinstallé pdfforge toolbar v1.1 (du moins, il n'apparaît plus dans "programmes et fonctionnalités"). J'ai ensuite fait un nouveau ZHPDiag+ZHPFix avec les corrections à apporter et le rapport de ce dernier se trouve à l'adresse suivante : https://www.cjoint.com/?kuvsK7FpWs puis j'ai ensuite refait un rapport ZHPDiag qui se trouve à l'adresse suivante : https://www.cjoint.com/?kuvuomulNT
Messages postés
25
Date d'inscription
dimanche 18 octobre 2009
Statut
Membre
Dernière intervention
25 octobre 2009

PS : pourrais m'expliquer les étapes que l'on fait afin que je comprenne un peu ce que je réalise, ce que je supprime et pour quoi je le fais ?
Messages postés
8819
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
722
On est en train d'essayer de virer la saletée qui traine sur ton PC, et je vois qu'elle est revenue..

Réexecute ZHPFix avec ce lien :

https://www.cjoint.com/?kuvKE4of8n

Puis poste le rapport.

Ensuite fais ceci ->

-+-+-+-+-> ComboFix <-+-+-+-


[x] Télécharge ComboFix ( de sUBs ) à cette adresse.

[x] /!\ Fermez toutes les fenêtres de programme ouvertes /!\

[x] /!\ Désactivez toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\

[x] Double clique sur " Combofix.exe "

[x] Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le

[x] Combofix va maintenant déconnecter ton PC d'internet

[x] Pendant le scan, ne touche à rien ( souris, clavier )

[x] A la fin du scan, le rapport s'ouvrira automatiquement, copie/colle le dans ton prochain message.

[o] Nb : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt
Messages postés
25
Date d'inscription
dimanche 18 octobre 2009
Statut
Membre
Dernière intervention
25 octobre 2009

Je n'arrive pas à désactiver avast quand je suis en mode sans echec. Je suis obligé de passer par le mode sans echec car en passage par ma session normal trop de fenêtres d'erreur s'ouvrent et combofix ne se réalise pas correctement et fait bugger l'ordinateur lors de l'ouverture d'une page du bloc-note (sans doute celle du rapport et celle-ci n'est pas enregistrée dans combofix.txt.
J'ai désactivé le lancement d'avast au démarrage en passant par msconfig et j'ai également désactivé les programmes d'avast (4 an tout) en passant par services.msc. Mais lorsque je lance combofix en mode sans echec il me dit qu'il a détecté que les serveurs en temps réel suivants sont actifs :
antivirus : avast! antivirus 4.8.1351 (VPS 091012-0)
antispyware : avast! antivirus 4.8.1351 (VPS 091012-0)

Comment les desactiver avec windows mode sans echec ?
Messages postés
25
Date d'inscription
dimanche 18 octobre 2009
Statut
Membre
Dernière intervention
25 octobre 2009

Voici le test ZHPFix réaliser avant d'avoir lancé combofix : https://www.cjoint.com/?kuxAXzaQsa et le rapport que j'ai refait, après avoir redémarré l'ordinateur, avec ZHPDiag : https://www.cjoint.com/?kuxCydZBsl
Messages postés
25
Date d'inscription
dimanche 18 octobre 2009
Statut
Membre
Dernière intervention
25 octobre 2009

Voici le test ZHPFix réaliser avant d'avoir lancé combofix : https://www.cjoint.com/?kuxAXzaQsa et le rapport que j'ai refait, après avoir redémarré l'ordinateur, avec ZHPDiag : https://www.cjoint.com/?kuxCydZBsl
Messages postés
8819
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
722
C'est bon, on a réussi a les éliminer, pas besoin de combofix.

Fais ceci maintenant :

-+-+-+-> Malwarebyte's Anti-Malware <-+-+-+-


[x] Télécharge Malwarebyte's anti-malware (MBAM) à cette adresse : http://www.malwarebytes.org/mbam/program/mbam-setup.exe

[x] Installe le.

[x] Met le à jour.

[x] Lance un scan complet !

[x] Coche bien tout les éléments trouvés et supprime les !

[x] Un tutoriel pour son utilisation est disponible ici : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

[x] Suis les indications données sur le lien précédent puis copie/colle le rapport généré dans ton prochain message
Messages postés
25
Date d'inscription
dimanche 18 octobre 2009
Statut
Membre
Dernière intervention
25 octobre 2009

Voici le rapport fait après la suppression des fichiers infectés avec Malwarebytes, juste avant de redémarrer mon ordinateur pour terminer la suppression : https://www.cjoint.com/?kwbjIjQOIu
Messages postés
8819
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
722
Bien, refais maintenant un ZHPDIag
Messages postés
25
Date d'inscription
dimanche 18 octobre 2009
Statut
Membre
Dernière intervention
25 octobre 2009

Voici le rapport de ZHPDiag : https://www.cjoint.com/?kwlQFAFaIb
Messages postés
25
Date d'inscription
dimanche 18 octobre 2009
Statut
Membre
Dernière intervention
25 octobre 2009
>
Messages postés
25
Date d'inscription
dimanche 18 octobre 2009
Statut
Membre
Dernière intervention
25 octobre 2009

Merci pour ton aide !
Messages postés
25
Date d'inscription
dimanche 18 octobre 2009
Statut
Membre
Dernière intervention
25 octobre 2009

Voici le rapport ZHPDiag : https://www.cjoint.com/?kwlQFAFaIb