Trojan-gen (VC), je n'y connais rien !

muchkafa Messages postés 15 Statut Membre -  
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
Bonjour, et merci d'avance

Tour d'abord, je ne suis pas douée et je crois qu'il va falloir que vous m'expliquiez en détail la marche à suivre (Triple Merci).

J'ai windows Millenium et mon antivirus : Avast.
Il m'a détécté :

fichier infecté : c:\_RESTORE\TEMP\A0174939-CPY
Nom du logiciel malveillant : WIN32: Trojan-Gen (VC)
Type du logiciel malveillant : Virus/Ver

Que dois je faire pour l'enlever?

MERCI BEAUCOUP

27 réponses

  • 1
  • 2
  1. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    il faut la désactiver
    pour ça tu fais clic droit sur poste de travail
    propriété tu clique sur onglet restauration système
    tu coche la case désactiver la restauration et applique
    tu redémarre
    tu fais scan en ligne ici pour verif
    http://www.ravantivirus.com/scan/

    et si tout va bien tu réactive ta restauration en refaisant le même
    chemin mais la tu décoche la case et tu redémarre
    et tu fait un nouveau point de restauration
    pour cela tu clik sur demarrer/tous les programmes/accessoires/outil systeme/restauration systeme et tu suis la procedure

    Pour Millenium : http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fdocid/20020830091903924
    0
    1. muchkafa Messages postés 15 Statut Membre
       
      Merci je vais essayer.
      0
  2. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    oki tient nous au courant
    a++
    0
  3. muchkafa Messages postés 15 Statut Membre
     
    Je crois que mon problème n'est pas résolu ou alors il s'agit d'un autre virus??? :

    Merci de votre aide

    Scan started at 12/06/2005 16:19:02

    Scanning memory...
    process://C:\PROGRAM FILES\HP\DIGITAL IMAGING\BIN\HPQGALRY.EXE - Win32/NewVirus#41 -> Suspicious
    c:\My Download Files\bastardgames.exe - Win32/Casino.A -> Infected

    Scanned
    ============================
    Objects: 38018
    Directories: 3450
    Archives: 1214
    Size(Kb): -1868340
    Infected files: 1

    Found
    ============================
    Viruses found: 1
    Suspicious files: 1
    Disinfected files: 0
    Mail files: 52
    0
  4. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    demarre en mode sans echec et suppr le fichier
    c:\My Download Files\bastardgames.exe
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. muchkafa Messages postés 15 Statut Membre
     
    Depuis tout ce temps, j'ai essayé de lancer en mode sans echec, j'ai du mal le faire ce qui a planté tout l'ordinateur (meme internet ne fonctionnait plus, d'ailleur là, la freebox fonctionne en indiquant 05h53, je n'y comprends rien).
    J'ai finalement réussi à démarrer en mode sans échec mais là que dois je faire? rechercher ce dossier avec l'outils recherche?.
    En plus, j'ai relancé un scan avec avast qui m'a de nouveau retrouvé 2 dossiers infectés par Trojan-gen(Vc), dossiers que j'ai réussi à supprimer. Je pense donc que ce virus est toujours présent quelque part.
    Je suis nulle, ça m'enerve.
    Merci de votre aide car je me sens un peu désespéréé
    0
  7. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    oui tu recherche le fichier en t assurent de ceci avant
    Affiche tous les fichiers et dossiers :
    cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
    Cocher afficher les dossiers cacher

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décocher masquer les extensions dont le type est connu
    Puis fais "Ok" pour valider les changements.

    Et appliquer
    -------
    et c est normal que internet ne fonctionne pas en mode sans echec
    0
  8. muchkafa Messages postés 15 Statut Membre
     
    ok, j'essaye mais je n'étais pas en mode sans échec quand internet ne fonctionnait plus.
    Je donne de mes nouvelles dès que possible
    0
  9. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    oki
    0
  10. muchkafa Messages postés 15 Statut Membre
     
    Victoire !!! J'ai réussi à l'enlever (j'ai supprimé c:\My Download Files\bastardgames.exe, puis j'ai vidé ma corbeille).

    Merci beaucoup, je me sens déjà un peu mieux. Par contre j'ai toujours un doute sur le Trojan-Gen donc je vais relancer le scan d'Avast pour vérifier et je dis quoi demain (car le je vais me coucher, je bosse demain).

    Merci encore et bonne nuit
    0
  11. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    bonne nuit et si je suis pas la les autres prendront la suite
    a++
    0
  12. muchkafa Messages postés 15 Statut Membre
     
    Bonjour, bonjour,

    Hier, j'ai scané l'ordi avec Avast : N'a rien detecté d'anormal. Après, j'ai refait ravantivirus qui me trouvait 0 fichier infecté.
    Ce matin je rallume l'ordi, avast me detecte un adware-Gen (j'ai supprimé le dossier infecté). Je crois donc que mon problème est loin d'être résolu comme je le croyais.
    J'ai donc appliqué ce que vous conseillez à beaucoup de personnes, j'ai fait un hijack mais forcement je ne sais pas décrypter (pour moi, c'est du charibia).
    Pouvez-vous m'aider?
    Merci d'avance
    Je colle le rapport:

    Logfile of HijackThis v1.99.1
    Scan saved at 09:51:36, on 14/06/2005
    Platform: Windows ME (Win9x 4.90.3000)
    MSIE: Internet Explorer v5.50 (5.50.4134.0600)

    Running processes:
    C:\WINDOWS\SYSTEM\KERNEL32.DLL
    C:\WINDOWS\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS\SYSTEM\mmtask.tsk
    C:\WINDOWS\SYSTEM\MPREXE.EXE
    C:\WINDOWS\SYSTEM\MSTASK.EXE
    C:\WINDOWS\SYSTEM\SSDPSRV.EXE
    C:\WINDOWS\SYSTEM\STIMON.EXE
    C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
    C:\WINDOWS\SYSTEM\RPCSS.EXE
    C:\WINDOWS\EXPLORER.EXE
    C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
    C:\WINDOWS\TASKMON.EXE
    C:\WINDOWS\SYSTEM\SYSTRAY.EXE
    C:\WINDOWS\SYSTEM\MSG32.EXE
    C:\APPS\ACTIVBOARD\MMKEYBD.EXE
    C:\PROGRAM FILES\REAL\REALPLAYER\REALPLAY.EXE
    C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
    C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
    C:\PROGRAM FILES\HP\HPCORETECH\HPCMPMGR.EXE
    C:\PROGRAM FILES\HP\HP SOFTWARE UPDATE\HPWUSCHD2.EXE
    C:\PROGRAM FILES\WEBHANCER\PROGRAMS\WHAGENT.EXE
    C:\APPS\ACTIVBOARD\TRAYMON.EXE
    C:\WINDOWS\SYSTEM\WMIEXE.EXE
    C:\PROGRAM FILES\WEBHANCER\PROGRAMS\WHSURVEY.EXE
    C:\WINDOWS\RUNDLL32.EXE
    C:\PROGRAM FILES\SAVE\SAVE.EXE
    C:\PROGRAM FILES\MICROSOFT MONEY\SYSTEM\MONEY EXPRESS.EXE
    C:\PROGRAM FILES\YAHOO!\MESSENGER\YPAGER.EXE
    C:\APPS\ACTIVBOARD\OSD.EXE
    C:\PROGRAM FILES\REAL\REALJUKEBOX\TSYSTRAY.EXE
    C:\WINDOWS\SYSTEM\DDHELP.EXE
    C:\PROGRAM FILES\HP\DIGITAL IMAGING\BIN\HPQTRA08.EXE
    C:\PROGRAM FILES\HP\DIGITAL IMAGING\BIN\HPQGALRY.EXE
    C:\WINDOWS\SYSTEM\SPOOL32.EXE
    C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
    C:\PROGRAM FILES\REAL\REALDOWNLOAD\REALDOWNLOAD.EXE
    C:\WINDOWS\SYSTEM\TAPISRV.EXE
    C:\PROGRAM FILES\7-ZIP\7ZFM.EXE
    C:\WINDOWS\TEMP\TD_0001.DIR\HIJACKTHIS.EXE

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fr.rd.yahoo.com/customize/ie/defaults/sb/ymsgr6/fr/*http://www.yahoo.com/ext/search/search.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/ymsgr6/fr/*http://fr.yahoo.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://yahoo.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.rd.yahoo.com/customize/ie/defaults/su/ymsgr6/fr/*http://fr.yahoo.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fr.rd.yahoo.com/customize/ie/defaults/sb/ymsgr6/fr/*http://www.yahoo.com/ext/search/search.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/ymsgr6/fr/*http://fr.yahoo.com
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/ymsgr6/fr/*http://fr.yahoo.com
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Planetis
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRAM FILES\YAHOO!\COMPANION\INSTALLS\CPN0\YCOMP5_5_7_0.DLL
    O2 - BHO: BrowserHelper Class - {EBCDDA60-2A68-11D3-8A43-0060083CFB9C} - C:\WINDOWS\SYSTEM\NZDD.DLL
    O2 - BHO: SurfairyHlp Class - {E0B9B5FE-B66E-4FB0-A1D9-726F0E743CFD} - C:\WINDOWS\SYSTEM\SurfairyPP.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
    O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\PROGRAM FILES\WEBHANCER\PROGRAMS\WHIEHLPR.DLL
    O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_38.dll
    O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
    O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\INSTALLS\CPN0\YCOMP5_5_7_0.DLL
    O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
    O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
    O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\Run: [EW Message Server] msg32.exe
    O4 - HKLM\..\Run: [ACTIVBOARD] C:\Apps\ActivBoard\MMKeybd.exe
    O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
    O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
    O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
    O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
    O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [webHancer Agent] C:\Program Files\webHancer\Programs\whagent.exe
    O4 - HKLM\..\Run: [webHancer Survey Companion] C:\Program Files\webHancer\Programs\whsurvey.exe
    O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
    O4 - HKLM\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe"
    O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
    O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
    O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
    O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
    O4 - HKLM\..\RunServices: [avast!] C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O4 - HKCU\..\Run: [Update Service] "C:\Program Files\Fichiers communs\Teknum Systems\update.exe" /startup
    O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"
    O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
    O4 - HKCU\..\Run: [RealJukeboxSystray] "C:\PROGRAM FILES\REAL\REALJUKEBOX\tsystray.exe"
    O4 - Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
    O9 - Extra button: Suggestions - {2223664C-1942-4276-9A2D-E8D8F547C5D2} - res://EffiPeled (file missing)
    O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAM FILES\YAHOO!\MESSENGER\YHEXBMES.DLL
    O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAM FILES\YAHOO!\MESSENGER\YHEXBMES.DLL
    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by WebHancer
    O10 - Hijacked Internet access by WebHancer
    O10 - Hijacked Internet access by WebHancer
    O10 - Hijacked Internet access by WebHancer
    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by WebHancer
    O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
    O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
    O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
    O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/cab/14/fr/SysWebTelecomInt.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
    O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader_sp1/imloader.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/fr/fr/tools/activex/fpu.cab
    O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
    O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
    O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
    0
  13. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    houla t est bien hijacker lol
    commence par ceci
    telecharge le desinstallateur pour newnet ici:
    http://www.new.net/support/uninstall6_76.exe
    double clic sur uninstall6_76.exe
    -------
    ensuite utilise ces log et vire tous se qu il trouvent
    telecharge ces programmes et met les a jour et scan avec
    utilise les tous
    pour spyboot pense a la fin a faire vaccinner
    adaware (1)
    spyboot (2)
    (ici) http://www.florensac-chasse-trap.com/ section virus
    et aussi ceci
    CleanUp312.exe (3)

    demo de CleanUp http://pageperso.aol.fr/balltrap34/democleanup.htm

    a2
    http://www.emsisoft.net/fr/
    penser a le metre a jour avant de scanner le pc
    -------
    la tu refait un hijack apres tous cela
    0
  14. muchkafa Messages postés 15 Statut Membre
     
    Bonjour,
    ca commence mal : je télécharge le désinstalleur pour newnet à partir du lien mais une fois le téléchargement terminé (100%) il ne veut pas se lancer !!!
    J'essaye pourtant d'être patiente !
    Merci
    0
  15. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    que te dit il
    si tu ni arrive pas c est pas grave ont le virerat autrement fait tous le reste
    0
  16. muchkafa Messages postés 15 Statut Membre
     
    salut me revoila

    J'ai lancé adaware qui a trouvé 6 trucs (324 new critical objects). J'ai coché toutes les cases et j'ai appuyé sur next mais depuis tout à l'heure, il est bloqué sur une fenetre "DELECTING SELECTION"
    Est ce normal, que dois je faire?
    0
  17. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    lol attend un peu
    et si cela contunue tu recommence en mode sans echec pour voir
    0
  18. muchkafa Messages postés 15 Statut Membre
     
    J'ai quitté et relancé adaware, il me met que les 324 objets sont en quarantaine donc je suppose que c'est bon. Je fais maintenant la suite : spyboot.
    0
  19. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    oki
    0
  20. muchkafa Messages postés 15 Statut Membre
     
    Bon, j'ai tout fait et je suis en train de scanner avec a-squared. C'est très long donc je le laisse faire et je vais me coucher. Il a déja trouvé 9 fichiers malwares. Je posterais le nouveau hijack demain.
    Sur ce, bonne nuit et merci encore pour ton aide si précieuse.
    0
  21. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    oki
    a ++
    0
  • 1
  • 2