Virus : win32 malware gen

Résolu/Fermé
Floriandu77 Messages postés 14 Date d'inscription lundi 19 juillet 2010 Statut Membre Dernière intervention 23 juillet 2010 - 19 juil. 2010 à 20:04
 Yul 13 - 18 févr. 2011 à 12:53
Bonjour,

Mon PC est infecté par un virus Win32 malware gen.
Je n'arrive absolument pas à m'en débarasser.
Quelqu'un aurait une solution ?

Merci de votre attention.

36 réponses

i am toto Messages postés 766 Date d'inscription vendredi 1 janvier 2010 Statut Membre Dernière intervention 30 décembre 2011 45
19 juil. 2010 à 20:06
Slt !

D'abord , il faut que tu télécahge malwarebyt : https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

Fait un scan complet puis post le ici ou sur le site : Ci-joint (si sur le site, pose le lien ici)
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 033
19 juil. 2010 à 20:07
Bonjour

Peux-tu me donner le nom et le répertoire du fichier détecté comme Win32 malware gen ?

Ensuite utilise cet outil de diagnostic afin d'identifier les problèmes de ton ordinateur.

Télécharge OTL (de OldTimer) sur ton Bureau.

!! Ferme toutes tes applications en cours !!

* Lance OTL.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.

* L'interface principale s'ouvre :
* Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
* Coche également les cases Recherche LOP et Recherche Purity
* Laisse tous les autres paramètres par défaut (âge du fichier 30 jours)
* Clique sur le bouton Analyse, patiente pendant le balayage du système.
* 2 rapports vont s'ouvrir au format bloc-note : OTL.txt (qui sera affiché) ainsi que de Extras.txt (réduit dans la barre des tâches)

Ne les poste pas sur le forum, ils seraient trop long !

Pour me les transmettre tu dois te rendre sur ce site http://www.cijoint.fr/ , tu cliques sur parcourir et tu sélectionnes le premier rapport sur ton bureau, tu coches "Rendre public le fichier" et ensuite tu cliques sur "Cliquez ici pour déposer le fichier", il va te donner un lien de ce type http://www.cijoint.fr/cjlink.php?file=cj200906/XcijvLjYL5L.txt que tu copies/colles dans ton message. idem pour le 2nd rapport.

A +
0
Floriandu77 Messages postés 14 Date d'inscription lundi 19 juillet 2010 Statut Membre Dernière intervention 23 juillet 2010
19 juil. 2010 à 20:15
D'après mon dernier scan j'ai plus de 20 000 fichiers infectés...
- C:\ProgramData\cb1e3d3\trz11EA.tmp
- Tous les autres seraient dans : C:\Windows\System32\

J'installe et effectue les manips, merci de la rapidité de réponse.
0
i am toto Messages postés 766 Date d'inscription vendredi 1 janvier 2010 Statut Membre Dernière intervention 30 décembre 2011 45
19 juil. 2010 à 20:17
20 000 c'est beacoup, je pense que c'est , certainement ses sorte de virus qui installe je ne sait combien de fichier sans intéret pour bouffé ton ordi ou réduire un max la mémoire.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Floriandu77 Messages postés 14 Date d'inscription lundi 19 juillet 2010 Statut Membre Dernière intervention 23 juillet 2010
19 juil. 2010 à 20:56
Re,

Le scan est terminé.
Je post donc les 2 rapports.

OTL : http://www.cijoint.fr/cjlink.php?file=cj201007/cijG6mikDL.txt
EXTRA : http://www.cijoint.fr/cjlink.php?file=cj201007/cijW0Yprb2.txt

Je ne m'y connais pas beaucoup en ce qui concerne les virus et autre mais je crois bien qu'il s'agit d'un virus qui veut me bouffer ma mémoire.
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 033
19 juil. 2010 à 21:21
Floriandu77,

Pas un virus mais de multiples infections et de multiples sortes.

Durant la désinfection, il est préférable de ne pas :

1. Ajouter de programmes à ton PC
2. Utiliser d'outil de désinfection de ta propre initiative
3. Suivre d'autres conseils afin de ne pas interférer sur la procédure en cours

Il est préférable de terminer la procédure même si ton PC semble aller mieux.

N'hésite pas à me faire part d'éventuelles difficultés dans les manipulations demandées.

Afin de permettre aux outils de désinfection de travailler correctement :
Désactiver l'UAC sous Vista

***************************************************************

1. Désinstalle les programmes suivants :

SearchTheWeb
IMBooster4Web
IMBooster     
radiodofus Toolbar
Fast Browser Search Toolbar Helper
myBabylon English4 Toolbar



2. Télécharge AD-Remover (CC_X) sur le bureau

Désactive la protection résidente de ton anti-virus

* Lance Ad-Remover
- Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* Clique sur "Oui" dans la boite de dialogue
* Dans l'interface principale, clique sur le bouton Nettoyer puis confirme l'action en cliquant sur "Oui"
* Patiente le temps du scan (le bureau peut disparaitre), le rapport doit s'ouvrir spontanément à la fin.
* Clique sur Quitter

Copie/colle le rapport dans ton prochain message.

Si le rapport ne s'ouvre pas spontanément, il se trouve à la racine du disque C:\Ad-report-CLEAN

"Process.exe" est détecté par certains antivirus comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus



3. Télécharge et installe UsbFix (par C_XX & El Desaparecido) sur le Bureau
! ! Branche tous tes supports amovibles (clés USB, DD externes, etc...) sans les ouvrir !!
* lance UsbFix
- Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* Clique sur le bouton "Recherche"
* Patiente le temps du balayage qui peut durer plusieurs minutes
* Le rapport doit s'ouvrir spontanément à la fin du scan
* Copie/colle le rapport dans le prochain message

Le rapport est sauvegardé à la racine du disque C:\Usbfix.txt

"Process.exe" est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Le mieux étant de désactiver temporairement ton antivirus

A +
0
Merci,

J'ai fait les manipulations, voici les rapports.

http://www.cijoint.fr/cjlink.php?file=cj201007/cijtS4KACX.txt
http://www.cijoint.fr/cjlink.php?file=cj201007/cijA2tkCm2.txt
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 033
19 juil. 2010 à 22:20
Floriandu77,

1. !! Ferme toutes tes applications en cours et désactive la protection résidente de ton anti-virus !!

Branche tous tes supports amovibles (clés USB, DD externes, etc...) sans les ouvrir

* Relance UsbFix en choisissant maintenant "Suppression"
- Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* UsbFix scanne ton pc, laisse travailler l'outil (le bureau peut disparaitre)
* A la fin du nettoyage, clique sur OK dans la boite de dialogue
* Upload le dossier zip demandé
* Le rapport doit s'ouvrir spontanément, copie/colle le dans le prochain message

Il est recommandé de redémarrer le pc après cette opération

Le rapport est sauvegardé à la racine du disque C:\Usbfix.txt

Rappel : "Process.exe" est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus

2. Relance OTL
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* L'interface principale s'ouvre :
* Dans la partie du bas "Personnalisation", copie/colle la liste complète de la pièce jointe : http://www.cijoint.fr/cj201007/cijFK2iHYE.txt
* Clique sur le bouton Correction, patiente pendant le travail de l'outil, à la fin il va redémarrer le PC.
* Après le re-démarrage, le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément
* Copie/colle le dans ton prochain message

Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles (Vérifie la date si besoin : jjmmaaaa_xxxxxxxx.log)

A +
0
Floriandu77 Messages postés 14 Date d'inscription lundi 19 juillet 2010 Statut Membre Dernière intervention 23 juillet 2010
20 juil. 2010 à 20:54
J'ai quelques petits problemes avec l'éxécution de OTL qui semble ne jamais vouloir se terminer ceci après des heures de traitement ... je réessaye dons plusieurs fois ... j'attend de voir.
Sinon voici le rapport de Usb.

http://www.cijoint.fr/cjlink.php?file=cj201007/cijaghv6Km.txt
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 033
20 juil. 2010 à 20:57
Salut,

Le script est un peu long mais ce n'est pas normal. Si ça bloque, on effectuera une autre opération avant. J'ai vu que tu avais téléchargé MalwareBytes, as-tu fait un scan avec ce logiciel ?

A +
0
Floriandu77 Messages postés 14 Date d'inscription lundi 19 juillet 2010 Statut Membre Dernière intervention 23 juillet 2010
20 juil. 2010 à 21:01
Re,

Nan aucun scan avec MalwareBytes.
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 033
20 juil. 2010 à 21:07
re,

Laisse pour l'instant OTL, on y reviendra.

Télécharge et enregistre List_Kill'em (de gen-hackman) sur le Bureau.

!! Important => Désactive ton antivirus !!

* Lance l'installation
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.

(une nouvelle icône blanche est créée sur le bureau)
* Fait l'installation par défaut en cliquant à chaque fois sur suivant
* Clique enfin sur "Terminer" et le programme va se lancer
* Choisis l'option "Search"
* Patiente pendant le travail de l'outil qui peut prendre plusieurs minutes
* A l'apparition d'une fenêtre blanche, même si c'est long, c'est normal, le programme n'est pas bloqué.
* Un rapport "catchme" apparait sur le bureau, ignore-le, il disparaitra en fin de scan
* Le rapport s'ouvre spontanément après 100 % du scan à l'ecran "COMPLETED"
* Héberge le rapport sur http://www.cijoint.fr

A +
0
Floriandu77 Messages postés 14 Date d'inscription lundi 19 juillet 2010 Statut Membre Dernière intervention 23 juillet 2010
20 juil. 2010 à 21:23
Re,

Voici le rapport

http://www.cijoint.fr/cjlink.php?file=cj201007/cijilIHFT9.txt
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 033
20 juil. 2010 à 21:25
re,

C'est pas le bon, es-tu sûr d'avoir lancé l'option Search ?

A +
0
Floriandu77 Messages postés 14 Date d'inscription lundi 19 juillet 2010 Statut Membre Dernière intervention 23 juillet 2010
20 juil. 2010 à 21:26
Re,

Pourtant oui... c'est le rapport que j'obtient a 100%.
Dois je relancer ?
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 033
20 juil. 2010 à 21:34
Oui, je comprends pas..
Tu as bien exécuter en tant qu'administrateur et en désactivant Avast! ?
Relance l'outil par la nouvelle icône blanche qui a du être crée.
Le rapport est assez long, il ressemble à ça

A +
0
Floriandu77 Messages postés 14 Date d'inscription lundi 19 juillet 2010 Statut Membre Dernière intervention 23 juillet 2010
20 juil. 2010 à 21:40
C'est bon lol ^^

Je comprend pas pk cela n'a pas fonctionné la premiere fois.

http://www.cijoint.fr/cjlink.php?file=cj201007/cijSXoIsm7.txt
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 033
20 juil. 2010 à 21:56
ouais, ben maintenant il manque la fin...grrrrr
Il me manque des éléments pour lancer le nettoyage.
Bon on change de méthode, on va utiliser MalwareBytes :

1. Télécharge ATF (par A-Tribune) sur le bureau
* Lance l'outil
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.

* Coche Select All
* Clique sur Empty Selected
* Clique sur OK dans la boite de dialogue Done cleaning!
* Si tu utilises un autre navigateur que IE, choisis ton navigateur dans l'onglet du haut (Firefox ou Opera )
* Coche Select All
(Si tu souhaites conserver les mots de passe sauvegardés, clique Non à l'invite)
* Clique sur Empty Selected
* Accepte de tout supprimer en cliquant sur OK

Cet outil ne donne pas de rapport, il sert à préparer le passage du logiciel suivant.

2. Lance Malwarebytes' Anti-Malware => !! Effectue la mise à jour !! <=
* Clique dans l'onglet du haut "Recherche"
* Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
* Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

A la fin de l'analyse, si MBAM n'a rien trouvé :

* Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

* Clique sur OK puis "Afficher les résultats"
* Choisis l'option "Supprimer la sélection"
* Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
* Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
* Sinon le rapport s'ouvre automatiquement après la suppression

Quelque soit le résultat, copie/colle le rapport dans le prochain message

A +
0
Floriandu77 Messages postés 14 Date d'inscription lundi 19 juillet 2010 Statut Membre Dernière intervention 23 juillet 2010
20 juil. 2010 à 23:11
Re

Voila le scan est fini.

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4332

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18928

20/07/2010 23:03:40
mbam-log-2010-07-20 (23-03-40).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 292224
Temps écoulé: 1 heure(s), 2 minute(s), 14 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 13
Elément(s) de données du Registre infecté(s): 5
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\xml.xml (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\xml.xml.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{9233c3c0-1472-4091-a505-5580a23bb4ac} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\AvScan (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\51189327 (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\83308830 (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\egvinqvq (Trojan.FakeAlert.N) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\chixaqtf (Trojan.FakeAlert.N) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\urrqrosys (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\awwtqpdrv (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\security master av (Rogue.SecurityMasterAV) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ljgecdsys (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\tutttsdrv (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ddayxvsys (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\urrppodrv (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ddayxvsys (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\urrppodrv (Trojan.Vundo) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CLASSES_ROOT\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (http://findgala.com/?&uid=231&q={searchTerms}) Good: (https://www.google.com/?gws_rd=ssl -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (http://findgala.com/?&uid=231&q={searchTerms}) Good: (https://www.google.com/?gws_rd=ssl -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (http://findgala.com/?&uid=231&q={searchTerms}) Good: (https://www.google.com/?gws_rd=ssl -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (http://findgala.com/?&uid=231&q={searchTerms}) Good: (https://www.google.com/?gws_rd=ssl -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (http://findgala.com/?&uid=231&q={searchTerms}) Good: (https://www.google.com/?gws_rd=ssl -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\ProgramData\51189327 (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\ProgramData\83308830 (Rogue.Multiple) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\_OTL\MovedFiles\07192010_224056\C_ProgramData\cb1e3d3\trz11EA.tmp (Rogue.Installer) -> Quarantined and deleted successfully.
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 033
20 juil. 2010 à 23:19
Floriandu77,

Malwarebytes a fait du ménage. On va faire une analyse avec OTL pour voir ce qui reste, puis je ferais un autre script pour enlever ce qui reste et si besoin on relancera Kill'em

Relance OTL
Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
* Laisse tous les autres paramètres par défaut
* Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
* Après le balayage, le rapport OTL.txt va s'ouvrir au format bloc-note
* Héberge le sur http://www.cijoint.fr/ comme la 1er fois

A+
0