VIrus : win32/small.gen!I
RésoluSmart91 Messages postés 30146 Statut Contributeur sécurité -
Merci
50 réponses
- 1
- 2
- 3
Problème rencontré : un utilisateur sous Windows Vista signale une infection par Win32/small.gen!I et cherche les démarches à suivre pour s'en sortir et évaluer les prochaines étapes.
Plusieurs éléments de réponse décrivent d’abord un balayage avec Malwarebytes' Anti-Malware, qui détecte des éléments infectés dans le Registre et des fichiers système, puis les met en quarantaine ou les supprime.
Des outils et procédures complémentaires sont ensuite suggérés, notamment rééexécuter le nettoyage, USBFix en Smart et vérifier des points techniques comme l’autoprotection Avast et les mises à jour d’IE, Flash et Reader.
Une nuance est que des questions sur la suppression d’anciens antivirus et la gestion des raccourcis apparaissent, montrant que le dépannage se poursuit après le nettoyage initial, des conseils restants pertinents.
-
Bonjour,
On va faire autrement.
Télécharge ZHPDiag sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer. (/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur la loupe pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
- Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
- Sélectionne le fichier ZHPDiag.txt.
- Clique sur "Cliquez ici pour déposer le fichier".
- Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
- Copie ce lien dans ta réponse.
Smart -
OK.
- Télécharge OTM (OldTimer) sur ton Bureau ==> http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
- Clique droit sur "OTMoveIt3.exe" et choisis "exécuter en tant qu'administrateur" afin de le lancer.
- Copie (Ctrl+C) le texte suivant en gras ci-dessous :
---------------------------------------------------------------------------------
:reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{16967CB9-70AB-A1C2-1117-717130B71B96}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{16967CB9-70AB-A1C2-1117-717130B71B96}]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"otbvtzkhhdowfown"=-
:files
c:\windows\system32\yrrpiepsxwasf.dll
:commands
[purity]
[emptytemp]
[Reboot]
----------------------------------------------------------------------------------
- Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved.
- Clique maintenant sur le bouton MoveIt!
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
Smart -
Voici le rapport :
All processes killed
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{16967CB9-70AB-A1C2-1117-717130B71B96}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{16967CB9-70AB-A1C2-1117-717130B71B96}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{16967CB9-70AB-A1C2-1117-717130B71B96}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{16967CB9-70AB-A1C2-1117-717130B71B96}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\otbvtzkhhdowfown deleted successfully.
========== FILES ==========
c:\windows\system32\yrrpiepsxwasf.dll moved successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 16384 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 82 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: michael
->Temp folder emptied: 12279522 bytes
->Temporary Internet Files folder emptied: 2884516 bytes
->FireFox cache emptied: 40272165 bytes
->Flash cache emptied: 1886878 bytes
User: Public
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 203880 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 663824 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 8639732 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 64,00 mb
OTM by OldTimer - Version 3.1.12.0 log created on 05252010_164049
Files moved on Reboot...
File move failed. C:\Users\michael\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\QSOTQ4VY\AK33H5ECAT87GTRCA3ST6NJCAWHIWY1CALQAVCHCALJEQ3ZCA1Z7ZRVCA3E3PD2CAYNTTASCABW3WRHCAABXRG7CAJLDE32CAC3HPE5CA4LXDRKCA5M2IYBCABAB7DECA1SED9RCAFIWFSUCAL9UCOFCAKKX4TL scheduled to be moved on reboot.
File move failed. C:\Users\michael\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\QSOTQ4VY\AVPB99ICASCJ2ZCCA2FU54MCAKZMB8ZCABPC5X8CAOO6HD8CAWS3UYRCAUHRMWPCADZ8RJJCAUJG9OQCAPRAAATCAHPM1TECADEB8L4CAE78H13CAKEQL0TCASMCXXWCA3VOM7BCAZK7VNYCAO4MISKCA4DGGY0 scheduled to be moved on reboot.
C:\Users\michael\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\M1TGHCRK\4bec3e9d3a0d7[1].htm moved successfully.
C:\Users\michael\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\M1TGHCRK\iframe3[7].htm moved successfully.
C:\Users\michael\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\M1TGHCRK\iframe3[8].htm moved successfully.
C:\Users\michael\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\M1TGHCRK\st[8] moved successfully.
C:\Users\michael\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IUHF9K8N\01[10].htm moved successfully.
C:\Users\michael\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IUHF9K8N\12tpc[1].htm moved successfully.
C:\Users\michael\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IUHF9K8N\4bd8430ddb14a[1].htm moved successfully.
C:\Users\michael\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IUHF9K8N\4bd8430ddefb0[1].htm moved successfully.
C:\Users\michael\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\A1W2TKAV\play[1].htm moved successfully.
Registry entries deleted on Reboot... -
OK. J'espère que tu as bien redémarré ton PC après OTM.
Refais un rapport ZHPDiag
Smart -
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
oui j'avais bien redémarrer le pc et voici le lien pour le rapport ZHDiag :
http://www.cijoint.fr/cjlink.php?file=cj201005/cijjyTkkzD.txt -
On a presque terminé, un dernier scan d'un antivirus et ensuite aon passe à la désinstallation des outils que je t'ai faits installer et aux mises à jour.
/!\ Utilisateurs de Vista et Windows 7 : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Pour Vista : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Pour Windows 7: https://www.androidworld.fr/
- Télécharge Malwarebytes
- Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
- Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation)
- Lance une analyse complète en cliquant sur "Exécuter un examen complet"
- Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
- L'analyse peut durer un bon moment.....
- Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
- Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
- Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum</list>
* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée
Smart -
ok, pc redémarrer voila le rapport:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4142
Windows 6.0.6000
Internet Explorer 7.0.6000.16764
25/05/2010 21:00:56
mbam-log-2010-05-25 (21-00-56).txt
Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 239045
Temps écoulé: 1 heure(s), 14 minute(s), 37 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{08b0e5jf-4fcb-11cf-aaa5-00401c6xx500} (Generic.Bot.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\viqvrteqxh (Adware.Adrotator) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hkcu (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hklm (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Trojan.Downloader) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Users\michael\AppData\Roaming\install\server.exe (Generic.Bot.H) -> Quarantined and deleted successfully.
C:\Windows\System32\viqvrteqxh.exe (Adware.Adrotator) -> Quarantined and deleted successfully.
C:\Users\michael\AppData\Local\Temp\xxxyyyzzz.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\michael\AppData\Local\Temp\MSN.abc (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\michael\AppData\Roaming\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.
C:\Users\michael\AppData\Local\Temp\UuU.uUu (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\michael\AppData\Local\Temp\XxX.xXx (Malware.Trace) -> Delete on reboot. -
Relance MBAM et vide la quarantaine. Redémarre ton PC.
Et refais un rapport ZHPDiag
Smart
-
quarantaine vidé, pc redemarré voici le lien pour le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201005/cijWBrkcBW.txt -
On va également sacanner et vacciné tes clés ou disques USB
/!\ Utilisateurs de Vista et Windows 7 : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Pour Vista : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Pour Windows 7: https://www.androidworld.fr/
Télécharge UsbFix et enregistre le sur ton bureau Tutoriel Recherche
/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptibles d'avoir été infectées sans les ouvrir
- Double clic sur le raccourci UsbFix sur ton bureau, l'installation se fera automatiquement
Si tu es sous Vista ou Windows 7:
- Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" sous Vista
- Dans le menu principal choisis l'option "F" pour français et tape sur [entrée] .
- Dans le second menu choisis l'option "1" (Recherche) et tape sur [entrée]
- Laisse travailler l outil.
- Ensuite poste le rapport UsbFix.txt qui apparaitra.
Note : Ce rapport UsbFix.txt est sauvegardé à la racine du disque. (C:\UsbFix.txt)
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller)
Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Smart -
Bonjour, voici le rapport :
############################## | UsbFix V6.114 |
User : michael (Administrateurs) # PC-DE-MICHAEL
Update on 17/05/2010 by El Desaparecido , C_XX & Chimay8
Start at: 11:30:11 | 26/05/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
Intel(R) Core(TM)2 Duo CPU T5450 @ 1.66GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6000 32-bit) #
Internet Explorer 7.0.6000.16764
Windows Firewall Status : Enabled
AV : avast! Antivirus 5.0.83886625 [ Enabled | Updated ]
C:\ -> Disque fixe local # 175,86 Go (84,06 Go free) # NTFS
D:\ -> Disque amovible
E:\ -> Disque amovible
F:\ -> Disque CD-ROM
G:\ -> Disque amovible # 978,73 Mo (945,92 Mo free) # FAT
################## | Elements infectieux |
################## | Registre |
################## | Mountpoints2 |
HKCU\..\..\Explorer\MountPoints2\{8cfe5f05-04c0-11df-8320-001a80b36889}
shell\Auto\command =G:\launcher.exe
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL G:\launcher.exe
HKCU\..\..\Explorer\MountPoints2\{ec028d72-0373-11df-b66a-001a80b36889}
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL G:\RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\server.exe
shell\Open\command =G:\RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\server.exe
################## | Vaccin |
(!) Cet ordinateur n'est pas vacciné !
################## | ! Fin du rapport # UsbFix V6.114 ! | -
On va faire le nettoyage et la vaccination:
tutoriel nettoyage
- Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés sans les ouvrir
- Double clic sur le raccourci UsbFix présent sur ton bureau
- Choisis l'option 2 ( Suppression )
-Ton bureau disparaîtra et le pc redémarrera .
- Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
- Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau .
- Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.(C:\UsbFix.txt )
- (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
UsbFix te proposera d'envoyer un dossier compressé à cette adresse : https://www.ionos.fr/?affiliate_id=77097
Ce dossier a été créé par UsbFix et est enregistré sur ton bureau.
Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.
- Il faut sélectionner "UsbFix" dans le menu déroulant
- Merci d'avance pour ta contribution !!
Smart -
J'ai voulu brancher mon lecteur mp3 pr faire un scanne avec UsbFix mais qd je double clic dessus il me dit " la creation de certains fichiers à échoués"
Il m'ouvre une fenetre avec des lignes marquant extraction...fermer et ou annuler.
Je ferme la fenetre et ca s'arrete la.
Qu'est ce que jdois faire? -
Quand tu as fait le premier scan avec USBFix, tu avais mis ton lecteur MP3 ou un autre disque externe ?
Et ce problème tu l'as eu avec l'option 1 ou l'otion 2 ?
Smart -
non lors du 1er scan jai mis uniquement une clé usb comme vous m'avez dis, avec juste l'option 1, et j'ai voulu le refaire après avec mon mp3. (jaurais du mettre les 2en mm tps je suppose) Mais bon jpensais pas que mon mp3 serait infecté donc je l'ai pas mis la 1ere fois et puis me suis dis vaut mieux le faire on sait jamais.
Voici ce que ca me marque quand j'ouvre USBFix :
Extraction de Fich\Kill.cmd
Extraction de Fich\K_Proc
Extraction de Fich\MD5.cmd
Extraction de Fich\Recycle
Extraction de Fich\Root.cmd
Extraction de Fich\Sniff.cmd
Extraction de Fich\Usb
Extraction de Fich\Usb2
Extraction de Fich\Vaccin
Extraction de Reg\Bho
Extraction de Reg\Clsid
Extraction de Reg\Hkcu_Po
Extraction de Reg\Hkcu_Run
Extraction de Reg\Hklm_Ifeo
Extraction de Reg\Hklm_Logon
Extraction de Reg\Hklm_Po
Extraction de Reg\Hklm_Run
Extraction de Reg\Hklm_Serv
Extraction de Reg\Rkt
Extraction de Reg\ShellExecuteHooks
Extraction de Reg\Software
Extraction de Reg\Startup
Extraction de Reg\UsbFix.reg
Extraction de Reg\UsbReg.vbs
Extraction de Tools\DevP.exe
Extraction de Tools\EchoX.exe
Extraction de Tools\EgwReg.com
Impossible de créer Tools\EgwReg.com
Extraction de Tools\Erunt\ERDNT.E_E
Extraction de Tools\Erunt\ERDNTDOS.LOC
Extraction de Tools\Erunt\ERDNTWIN.LOC
Extraction de Tools\Erunt\ERUNT.com
Extraction de Tools\Erunt\ERUNT.LOC
Extraction de Tools\fsum.exe
Extraction de Tools\gsar.exe
Extraction de Tools\Kill.exe
Extraction de Tools\KProcess.exe
Extraction de Tools\Langue.cmd
Extraction de Tools\sed.exe
Extraction de Tools\setpath.exe
Extraction de Tools\Strtaz.ref
Extraction de Tools\swreg.exe
Extraction de Tools\swxcacls.com
Extraction de Tools\UsbFix.vbs
Extraction de Tools\zip.exe
Extraction de Go.exe
Extraction de UsbFix.cmd
Extraction de Tools\Erunt
Extraction de Fich
Extraction de Reg
Extraction de Tools -
On a l'impression que tu as une extraction d'un dossier .zip.
On va laissé de côté ton lecteur MP3, pour le moment.
Remets ta clé USB et fais USBFix avec l'option 2
Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera) -
jai remis la clé, ouvert usbfix, je fais executer et pareil il me dit "la creation de certains fichiers à echoués" et il m'ouvre la mm fenetre que tt à l'heure.
avec toujours une barre verte presque au bout et au dessus marqué "progression de l'installation" c presque fini mais ca na pas lair avancer. -
Tu as bien fais ceci
"Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" sous Vista "
Sinon je me renseigne auprès du concepteur de l'outil et reviens vers toi
Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera) -
-
- 1
- 2
- 3