Comment supprimer TR Hijack.Gen ?

Question

Bonsoir
je vous explique mon problème en quelques mots, j'ai récemment eu la mauvaise surprise d'avoir ce cheval de troie sur mon PC, Antivir me l'a signalé et je l'ai donc supprimer, mais il est encore présent, en effet Antivir m'alerte toutes les 8 à 10 minutes de sa présence. J'ai utilisé Antimalware qui ne le trouve pas tout comme spybot ou Prevx ...

Je ne sais plus quoi faire pour le retirer définitivement, je vous en supplie aidez moi !!

truecode · Answer

Bonsoir , 

Commence par réaliser cette analyse ; 

* Télécharge ZHPDiag(de Nicolas Coolman) https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur http://www.cijoint.fr/ puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

thoy · Answer

Bonjour,
le diagnostic est fait mais quand je veux héberger le fichier, le site perd la connexion et je ne parviens pas à obtenir le lien que tu désire.
J'essaye aussi de coller le rapport ici mais cela ne fonctionne pas non plus.

Comment faire ?

truecode · Answer

Bonjour,

Tu peux faire un copier coller du rapport dans ton prochain message mais vérifie bien que ton copier coller soit complet

thoy · Answer

J'essaye mais cela ne veut pas, j'ai un message en rouge qui dit (syntax error) et cela ne se publie pas

truecode · Answer

Essai d'héberger le fichier en passant par le mode sans echec avec prise en charge du réseau : 

Pour redémarrer en mode sans échec avec prise en charge du réseau  : 
*	Clique sur Démarrer 
*	Clique sur Arrêter 
*	Sélectionne Redémarrer 
*	Clique sur OK 
*	Appuie sur la touche F8 dès qu'un écran de texte apparaît puis disparaît 
*	Utilise les touches de direction pour sélectionner le mode sans échec voulu, puis appuie sur ENTRÉE

thoy · Answer

je suis déjà en mode sans échec avec prise en charge du réseau, j'ai essayé avec firefox et internet explorer mais toujours le même problème ...

thoy · Answer

avec un peu de malice j'ai réussi à obtenir un lien !!

 http://www.cijoint.fr/cjlink.php?file=cj201003/cijPqW05hd.txt

truecode · Answer

Alors il y a modification de certaines clefs , le problème devrais être résolu avec un scan MBAM ! 

*Télécharge Malwarebytes' Anti-Malware (MBAM) http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Avant tous il faut brancher tous les supports amovibles que tu possède avant de faire ce scan ( disque dur externes , clé usb ... )

*Double clique sur le fichier téléchargé
*Dans l'onglet "Mise à jour", clique sur "Recherche de mise à jour": si ton parefeu te demande de d'autoriser MBAM accepte
*Quand la mise à jour est terminé va dans l'onglet scanner 
*Tu sélectionne "Exécuter un examen complet"
*Puis tu clique sur"Rechercher"

L'analyse démarre, le scan est relativement long, c'est normal.

A la fin de l'analyse, un message s'affiche :

*L'examen s'est terminé normalement. Il te reste a cliquer sur"Afficher les résultats" pour afficher tous les objets trouvés.
*Maintenant tu clique sur "Ok" pour poursuivre.
*Ferme tes navigateurs ( firefox , internet explorer , chrome , opéra...)
*Si MBAM à détecter des malwares, clique sur "Afficher les résultats".
*Sélectionne tout et clique sur"Supprimer la sélection",MBAM va supprimer tous les fichiers infectés.
*Le Bloc-notes va s'ouvrir avec le rapport d'analyse
*Fais un copier coller de ce rapport etposte-le dans ton prochain message.

thoy · Answer

Scan fait et comme les dernières fois il ne trouve rien, voici le rapport

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3922
Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

28/03/2010 14:32:28
mbam-log-2010-03-28 (14-32-28).txt

Type de recherche: Examen complet (C:\|E:\|)
Eléments examinés: 173428
Temps écoulé: 24 minute(s), 44 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

thoy · Answer

oui, cela fait une différence en mode sans echec ou quand windows fonctionne normalement ?

truecode · Answer

Il faut mieux le faire en mode normal

thoy · Answer

voici le rapport en mode normal

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3922
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

28/03/2010 18:46:34
mbam-log-2010-03-28 (18-46-34).txt

Type de recherche: Examen complet (C:\|E:\|)
Eléments examinés: 175456
Temps écoulé: 1 hour(s), 2 minute(s), 34 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\flzualmy (Rootkit.Agent.BO) -> Delete on reboot.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers\flzualmy.sys (Rootkit.Agent.BO) -> Quarantined and deleted successfully.

truecode · Answer

Tu as vu la différence ? deux rootkit de détecté .

on va faire une vérification en plus : 

* Rends toi sur cette page http://www.gmer.net/ , et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
* Lance Gmer
* Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
* A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau.
* Héberge le rapport sur http://www.cijoint.fr/ , puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

thoy · Answer

oui j'ai vu la différence !!
Par contre j'ai l'impression que cela s'aggrave car les alertes sont de plus en plus fréquentes. De plus j'ai un soucis avec Gmer, à la fin du scan le pc bug, impossible de sauver le rapport ni de le copier dans le bloc-note !!

thoy · Answer

Enfin réussis !!
Je tiens déjà à te remercier de ta patience, donc voici le lien que j'ai pu obtenir
http://www.cijoint.fr/cjlink.php?file=cj201003/cijCMVawoj.txt

Thoy · Answer

Pas de soucis, parcontre j'ai la mauvaise surprise ce matin de voir que le clavier ne fonctionne plus que ça soit en mode normal ou en mode sans échec.
Donc j'attends patiement ta réponse !!

truecode · Answer

Bonjour,

Lance un scan complet avec ANtivir et poste moi le rapport , tu aurais l'ancien rapport qui a détecté le trojan ?

FGZ · Answer

idem!
as tu trouvé une solution depuis?

Comment supprimer TR Hijack.Gen ?

18 réponses

Votre réponse

Discussions similaires

Newsletters