J'ai le virus "win32:malwar_gen"

Résolu/Fermé
lour.dan Messages postés 43 Date d'inscription dimanche 22 juin 2008 Statut Membre Dernière intervention 18 mai 2011 - 27 mars 2010 à 11:59
lour.dan Messages postés 43 Date d'inscription dimanche 22 juin 2008 Statut Membre Dernière intervention 18 mai 2011 - 6 avril 2010 à 19:36
bonjour,

Comme le titre l'indique je suis atteint d'un virus appelé "win32:malwar_gen"
que mon anti virus (avast édition familial) a découvert.
J'ai fait se con ma dit de faire c'est a dire de créé un post pour mon cas personnel.

merci de votre aide.
A voir également:

29 réponses

Utilisateur anonyme
27 mars 2010 à 13:30
Pour lour.dan
Soit tu suis la procédure de crapoulou que je salue au passage,soit tu suis mes recommandations.En aucun cas tu dois suivre des procédures différentes et qui pourrais compromettre la fiabilité de ton système.
2
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
Modifié par crapoulou le 27/03/2010 à 15:15
Salut nanard,
Je n'avais pas vu ton intervention, autant pour moi ;-).
Bonne continuation.
0
Utilisateur anonyme
27 mars 2010 à 12:01
Bonjour

Pour analyser ton pc.

* Télécharge [https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html ZHPDiag ( de Nicolas coolman ).
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur le site cijoint.fr, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
1
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
27 mars 2010 à 12:12
Pour établir un diagnostic plus en profondeur de ton PC :
Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur le Bureau.
= = = = >>> En cliquant ici <<< = = = =

* Double clique sur RSIT.exe pour le lancer.
* Une première fenêtre s'ouvre, clique alors sur Continue (Disclaimer).
* Si la dernière version de HijackThis n'est pas détectée sur ton PC, RSIT le téléchargera et te demandera d'accepter la licence.
* Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-notes).
* Poste le contenu de log.txt et de info.txt.

Je m'absente une heure et demie.
A tout à l'heure.
1
Utilisateur anonyme
27 mars 2010 à 12:59
/!\ A l'attention de ceux qui passent sur ce sujet /!\
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.

/!\ Désactive tous tes logiciels de protection /!\

* Télécharge combofix(de sUBs) sur ton Bureau.
* Double-clique sur ComboFix.exe afin de le lancer.
* Il va te demander d'installer la console de récupération : accepte. (important en cas de problème)
/!\ Ne touche ni à la souris, ni au clavier durant le scan /!\
* Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.
#Si combofix ne veut pas se lancer renommes le en ccm.exe et éxécutes le en mode sans échec .
Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser¬-combofix
1

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Supprimer le Rootkit MBR avec mbr.exe de Gmer

Gmer a sorti un programme qui détecte et permet de supprimer le rootkit MBR.
Vous pouvez télécharger le programme à l'adresse : http://www2.gmer.net/mbr/mbr.exe
Placez le fichier sur votre bureau

* Désactiver tous les programmes de protection (antivirus, antispyware etc.)
* Double-cliquez sur mbr.exe.. une fenêtre noire va s'ouvrir et se refermer.
* Un rapport sera généré mbr.log, voici un extrait de log en cas d'infection :

********************************************
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
MBR rootkit code detected !
malicious code @ sector 0x365340 size 0x1e8 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

********************************************

Si vous êtes infecté, le message MBR rootkit code detected apparaît.

Pour supprimer le rootkit :

* Menu Démarrer / exécuter et tapez la commande : "%userprofile%\Bureau\mbr" -f

(veuillez à bien respecter les guillemets)
* dans le rapport mbr.log, la ligne suivante s'est ajoutée original MBR restored successfully !
* Supprimer le fichier mbr.log
* Relancez mbr.exe et revisualiser mbr.log, si vous n'êtes plus infecté, vous devez avoir un rapport disant qu'aucune infection n'a été détectée, comme ceci :

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un.
1
Utilisateur anonyme
27 mars 2010 à 21:25
Télécharge Ad-Remover sur ton bureau:
http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
https://www.androidworld.fr/

/!\ Ferme toutes tes applications ouvertes. /!\

* Désactive la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner la procédure de recherche et de nettoyage de l'outil.


Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur "Nettoyer".
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.
1
lour.dan Messages postés 43 Date d'inscription dimanche 22 juin 2008 Statut Membre Dernière intervention 18 mai 2011 1
Modifié par lour.dan le 28/03/2010 à 16:04
merci pour ta réponse ,
mais j'ai l'impression que l'outil a bloqué a 30%(quand il passe en "scan supplémentaire"
0
Fait le en mode sans echec.
Redémarre en mode sans échec
(Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier (F5 ou F10 sur certains PC) jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)
Attention tu n'as pas accès à Internet dans ce mode

Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un.
1
Utilisateur anonyme
28 mars 2010 à 20:12
ton souci vient tres certainement de ces fichiers.
C:\Documents and Settings\Compaq_Propriétaire\Bureau\Mes images\photos\Juliane\The Sims 2 Na Studiach Pl Crak Serial.zip
C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Application Data\Microsoft\Messenger\danie1996@hotmail.fr\Sharing Folders\seb_ledragon@hotmail.fr\Update + Patch\Patch Worms Armageddon XP.exe
C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Application Data\Microsoft\Messenger\danie1996@hotmail.fr\Sharing Folders\seb_ledragon@hotmail.fr\Update + Patch\WA_Update-3.0.5.0_Beta_2.exe

Post un nouveau rapport Zhdiag et dis moi si ton pc se comporte mieux.
1
lour.dan Messages postés 43 Date d'inscription dimanche 22 juin 2008 Statut Membre Dernière intervention 18 mai 2011 1
28 mars 2010 à 20:24
je supprime les fichiers et après je t'envoie le rapport de Zhdiag.
C'est ca ?
0
Tu as encore des infections ont cotinue avec Mbam


* Télécharge et installe : Malwarebyte's Anti-Malware
* (NB : S'il te manque"COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
* Sélectionne tes disques durs" puis clique sur "Lancer l'examen"
* A la fin du scan, clique sur Afficher les résultats
* Coche tous les éléments détectés puis clique sur Supprimer la sélection
* Enregistre le rapport
* S'il t'est demandé de redémarrer, clique sur Yes
* Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.)
* Si tu as besoin d'aide regarde ce tutorial
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un.
1
Utilisateur anonyme
3 avril 2010 à 15:18
salut

J'ai un doute sur un élément.
Post un nouveau rapport Zhdiag.
1
Utilisateur anonyme
3 avril 2010 à 23:04
* Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Copie/colle les lignes suivantes et place les dans ZHPFix :

----------------------------------------------------------
O43 - CFD:Common File Directory ----D- C:\Program Files\Common Files\Companion Wizard
O44 - LFC:[MD5.0C98D0683F0C086A288C093C2C985121] - 28/03/2010 - 17:15:45 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\fjhdyfhsn.bat [116]




----------------------------------------------------------

* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse

=========================================================
Je conseille de mettre a jour internet explorer même si vous ne l'utilisé jamais. Les MAJ systéme se font par le biais de IE. Par conséquent on évite les failles de sécurité.
* Télécharger IE8 : ici
=======================================================

* Java n'est pas à jour, c'est une faille de sécurité.
* Télécharge : JavaRa.zip
* Décompresse le fichier sur ton bureau (clique droit > Extraire tout.)
* Double-clique sur le répertoire JavaRa obtenu.
* Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher)* Clique sur SearchFor Updates.
* Sélectionne Update Using jucheck.exe puis clique sur Search.
* Autorise le processus à se connecter s'il te le demande, clique sur Install et suis les instructions d'installation. Cela prendra quelques minutes.
* Quand l'installation est terminée, revient à l'écran de JavaRa et clique sur Remove Older Versions.
* Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.
* Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse.
* Note : le rapport se trouve aussi là : ( C:\JavaRa.log )

* Adobe Reader n'est pas à jour, c'est une faille de sécurité. Désinstalle le en allant dans menu démarrer --> panneau de configuration --> ajout/suppression de programmes. Puis télécharge et installe la nouvelle version. https://acrobat.adobe.com/fr/fr/acrobat/pdf-reader.html

====================================================
Post un nouveau rapport ZHdiag.
1
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
27 mars 2010 à 12:03
Salut,

Peux-tu poster le rapport d'Avast stp pour en savoir plus sur le fichier détecté.

Quelle est ton système d'exploitation ?
0
lour.dan Messages postés 43 Date d'inscription dimanche 22 juin 2008 Statut Membre Dernière intervention 18 mai 2011 1
Modifié par lour.dan le 27/03/2010 à 12:21
je vous remercie de répondre aussi rapidement ,je m'empresse de faire se que vous m'avez demander.

ps:j'utilise windos xp

je n'ai pas enregistrer le rapport d'avast.je suis désoler pour crapoulou.je vous parle et je télécharger les logiciel a partir d'un autre pc car le pc infecté bug trop .
je fait les transféré a partir d'un clé usb.il n'y aucun risque de transféré du virus ?
0
lour.dan Messages postés 43 Date d'inscription dimanche 22 juin 2008 Statut Membre Dernière intervention 18 mai 2011 1
27 mars 2010 à 12:33
au secour alors que j'ai activer le scan de ZHPDiag avast m'informe de la présence d'un virus . quand je demande a avast de le supprimé, il m'affiche en cor qu'il y a un virus mais plus le même emplacement ou fichier (ça ne s arrête pas).aussi le scan de ZHPDiag a planté
0
lour.dan Messages postés 43 Date d'inscription dimanche 22 juin 2008 Statut Membre Dernière intervention 18 mai 2011 1
Modifié par lour.dan le 27/03/2010 à 12:53
voila le rapport de ZHPDiag
http://www.cijoint.fr/cjlink.php?file=cj201003/cijZ78rWWe.txt

merci de votre aide et repondez moi vite,
0
lour.dan Messages postés 43 Date d'inscription dimanche 22 juin 2008 Statut Membre Dernière intervention 18 mai 2011 1
Modifié par lour.dan le 27/03/2010 à 13:10
pour crapoulou:les rapport de RSIT
http://www.cijoint.fr/cjlink.php?file=cj201003/cijWSwP1zp.txt :info
http://www.cijoint.fr/cjlink.php?file=cj201003/cijjKoIbw9.txt :log


désoler mais je m'absente pour a peu pret 3 h.
0
lour.dan Messages postés 43 Date d'inscription dimanche 22 juin 2008 Statut Membre Dernière intervention 18 mai 2011 1
Modifié par lour.dan le 27/03/2010 à 19:26
merci pour vos réponse ,
je vais suivre seulement la procédure de nanard4700
et tout de suite .
je vous tien au courant

ps:toute les 5 min j'ai des rafales d'avertissement de virus .j'éspére qu'elles n'interrompront pas combofix.Je vais donc pendant le scan désactivé avast .
0
Utilisateur anonyme
27 mars 2010 à 20:16
/!\ Désactive tous tes logiciels de protection /!\
0
lour.dan Messages postés 43 Date d'inscription dimanche 22 juin 2008 Statut Membre Dernière intervention 18 mai 2011 1
Modifié par lour.dan le 27/03/2010 à 20:30
voila le rapport de combofix,j'espère que sa a marcher:

http://www.cijoint.fr/cjlink.php?file=cj201003/cijLlAWzkp.txt

répondez moi vite ,
0
lour.dan Messages postés 43 Date d'inscription dimanche 22 juin 2008 Statut Membre Dernière intervention 18 mai 2011 1
27 mars 2010 à 21:03
Désoler mais il n'a pas détécter le mbr rootkit voila le rapport:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


aidez moi ,
0
lour.dan Messages postés 43 Date d'inscription dimanche 22 juin 2008 Statut Membre Dernière intervention 18 mai 2011 1
28 mars 2010 à 19:59
voici le rapport de ad report clean:
http://www.cijoint.fr/cjlink.php?file=cj201003/cijpgmo9r1.txt

merci de m'aidez autant,
0