Virus : win32 malware gen [Résolu/Fermé]

Signaler
Messages postés
14
Date d'inscription
lundi 19 juillet 2010
Statut
Membre
Dernière intervention
23 juillet 2010
-
 Yul 13 -
Bonjour,

Mon PC est infecté par un virus Win32 malware gen.
Je n'arrive absolument pas à m'en débarasser.
Quelqu'un aurait une solution ?

Merci de votre attention.

36 réponses

Messages postés
766
Date d'inscription
vendredi 1 janvier 2010
Statut
Membre
Dernière intervention
30 décembre 2011
44
Slt !

D'abord , il faut que tu télécahge malwarebyt : https://www.commentcamarche.net/download/telecharger-34055379-malwarebytes-anti-malware

Fait un scan complet puis post le ici ou sur le site : Ci-joint (si sur le site, pose le lien ici)
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
2 987
Bonjour

Peux-tu me donner le nom et le répertoire du fichier détecté comme Win32 malware gen ?

Ensuite utilise cet outil de diagnostic afin d'identifier les problèmes de ton ordinateur.

Télécharge OTL (de OldTimer) sur ton Bureau.

!! Ferme toutes tes applications en cours !!

* Lance OTL.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.

* L'interface principale s'ouvre :
* Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
* Coche également les cases Recherche LOP et Recherche Purity
* Laisse tous les autres paramètres par défaut (âge du fichier 30 jours)
* Clique sur le bouton Analyse, patiente pendant le balayage du système.
* 2 rapports vont s'ouvrir au format bloc-note : OTL.txt (qui sera affiché) ainsi que de Extras.txt (réduit dans la barre des tâches)

Ne les poste pas sur le forum, ils seraient trop long !

Pour me les transmettre tu dois te rendre sur ce site http://www.cijoint.fr/ , tu cliques sur parcourir et tu sélectionnes le premier rapport sur ton bureau, tu coches "Rendre public le fichier" et ensuite tu cliques sur "Cliquez ici pour déposer le fichier", il va te donner un lien de ce type http://www.cijoint.fr/cjlink.php?file=cj200906/XcijvLjYL5L.txt que tu copies/colles dans ton message. idem pour le 2nd rapport.

A +
Messages postés
14
Date d'inscription
lundi 19 juillet 2010
Statut
Membre
Dernière intervention
23 juillet 2010

D'après mon dernier scan j'ai plus de 20 000 fichiers infectés...
- C:\ProgramData\cb1e3d3\trz11EA.tmp
- Tous les autres seraient dans : C:\Windows\System32\

J'installe et effectue les manips, merci de la rapidité de réponse.
Messages postés
766
Date d'inscription
vendredi 1 janvier 2010
Statut
Membre
Dernière intervention
30 décembre 2011
44
20 000 c'est beacoup, je pense que c'est , certainement ses sorte de virus qui installe je ne sait combien de fichier sans intéret pour bouffé ton ordi ou réduire un max la mémoire.
Messages postés
14
Date d'inscription
lundi 19 juillet 2010
Statut
Membre
Dernière intervention
23 juillet 2010

Re,

Le scan est terminé.
Je post donc les 2 rapports.

OTL : http://www.cijoint.fr/cjlink.php?file=cj201007/cijG6mikDL.txt
EXTRA : http://www.cijoint.fr/cjlink.php?file=cj201007/cijW0Yprb2.txt

Je ne m'y connais pas beaucoup en ce qui concerne les virus et autre mais je crois bien qu'il s'agit d'un virus qui veut me bouffer ma mémoire.
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
2 987
Floriandu77,

Pas un virus mais de multiples infections et de multiples sortes.

Durant la désinfection, il est préférable de ne pas :

1. Ajouter de programmes à ton PC
2. Utiliser d'outil de désinfection de ta propre initiative
3. Suivre d'autres conseils afin de ne pas interférer sur la procédure en cours

Il est préférable de terminer la procédure même si ton PC semble aller mieux.

N'hésite pas à me faire part d'éventuelles difficultés dans les manipulations demandées.

Afin de permettre aux outils de désinfection de travailler correctement :
Désactiver l'UAC sous Vista

***************************************************************

1. Désinstalle les programmes suivants :

SearchTheWeb
IMBooster4Web
IMBooster     
radiodofus Toolbar
Fast Browser Search Toolbar Helper
myBabylon English4 Toolbar



2. Télécharge AD-Remover (CC_X) sur le bureau

Désactive la protection résidente de ton anti-virus

* Lance Ad-Remover
- Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* Clique sur "Oui" dans la boite de dialogue
* Dans l'interface principale, clique sur le bouton Nettoyer puis confirme l'action en cliquant sur "Oui"
* Patiente le temps du scan (le bureau peut disparaitre), le rapport doit s'ouvrir spontanément à la fin.
* Clique sur Quitter

Copie/colle le rapport dans ton prochain message.

Si le rapport ne s'ouvre pas spontanément, il se trouve à la racine du disque C:\Ad-report-CLEAN

"Process.exe" est détecté par certains antivirus comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus



3. Télécharge et installe UsbFix (par C_XX & El Desaparecido) sur le Bureau
! ! Branche tous tes supports amovibles (clés USB, DD externes, etc...) sans les ouvrir !!
* lance UsbFix
- Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* Clique sur le bouton "Recherche"
* Patiente le temps du balayage qui peut durer plusieurs minutes
* Le rapport doit s'ouvrir spontanément à la fin du scan
* Copie/colle le rapport dans le prochain message

Le rapport est sauvegardé à la racine du disque C:\Usbfix.txt

"Process.exe" est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Le mieux étant de désactiver temporairement ton antivirus

A +
Merci,

J'ai fait les manipulations, voici les rapports.

http://www.cijoint.fr/cjlink.php?file=cj201007/cijtS4KACX.txt
http://www.cijoint.fr/cjlink.php?file=cj201007/cijA2tkCm2.txt
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
2 987
Floriandu77,

1. !! Ferme toutes tes applications en cours et désactive la protection résidente de ton anti-virus !!

Branche tous tes supports amovibles (clés USB, DD externes, etc...) sans les ouvrir

* Relance UsbFix en choisissant maintenant "Suppression"
- Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* UsbFix scanne ton pc, laisse travailler l'outil (le bureau peut disparaitre)
* A la fin du nettoyage, clique sur OK dans la boite de dialogue
* Upload le dossier zip demandé
* Le rapport doit s'ouvrir spontanément, copie/colle le dans le prochain message

Il est recommandé de redémarrer le pc après cette opération

Le rapport est sauvegardé à la racine du disque C:\Usbfix.txt

Rappel : "Process.exe" est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus

2. Relance OTL
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* L'interface principale s'ouvre :
* Dans la partie du bas "Personnalisation", copie/colle la liste complète de la pièce jointe : http://www.cijoint.fr/cj201007/cijFK2iHYE.txt
* Clique sur le bouton Correction, patiente pendant le travail de l'outil, à la fin il va redémarrer le PC.
* Après le re-démarrage, le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément
* Copie/colle le dans ton prochain message

Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles (Vérifie la date si besoin : jjmmaaaa_xxxxxxxx.log)

A +
Messages postés
14
Date d'inscription
lundi 19 juillet 2010
Statut
Membre
Dernière intervention
23 juillet 2010

J'ai quelques petits problemes avec l'éxécution de OTL qui semble ne jamais vouloir se terminer ceci après des heures de traitement ... je réessaye dons plusieurs fois ... j'attend de voir.
Sinon voici le rapport de Usb.

http://www.cijoint.fr/cjlink.php?file=cj201007/cijaghv6Km.txt
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
2 987
Salut,

Le script est un peu long mais ce n'est pas normal. Si ça bloque, on effectuera une autre opération avant. J'ai vu que tu avais téléchargé MalwareBytes, as-tu fait un scan avec ce logiciel ?

A +
Messages postés
14
Date d'inscription
lundi 19 juillet 2010
Statut
Membre
Dernière intervention
23 juillet 2010

Re,

Nan aucun scan avec MalwareBytes.
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
2 987
re,

Laisse pour l'instant OTL, on y reviendra.

Télécharge et enregistre List_Kill'em (de gen-hackman) sur le Bureau.

!! Important => Désactive ton antivirus !!

* Lance l'installation
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.

(une nouvelle icône blanche est créée sur le bureau)
* Fait l'installation par défaut en cliquant à chaque fois sur suivant
* Clique enfin sur "Terminer" et le programme va se lancer
* Choisis l'option "Search"
* Patiente pendant le travail de l'outil qui peut prendre plusieurs minutes
* A l'apparition d'une fenêtre blanche, même si c'est long, c'est normal, le programme n'est pas bloqué.
* Un rapport "catchme" apparait sur le bureau, ignore-le, il disparaitra en fin de scan
* Le rapport s'ouvre spontanément après 100 % du scan à l'ecran "COMPLETED"
* Héberge le rapport sur http://www.cijoint.fr

A +
Messages postés
14
Date d'inscription
lundi 19 juillet 2010
Statut
Membre
Dernière intervention
23 juillet 2010

Re,

Voici le rapport

http://www.cijoint.fr/cjlink.php?file=cj201007/cijilIHFT9.txt
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
2 987
re,

C'est pas le bon, es-tu sûr d'avoir lancé l'option Search ?

A +
Messages postés
14
Date d'inscription
lundi 19 juillet 2010
Statut
Membre
Dernière intervention
23 juillet 2010

Re,

Pourtant oui... c'est le rapport que j'obtient a 100%.
Dois je relancer ?
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
2 987
Oui, je comprends pas..
Tu as bien exécuter en tant qu'administrateur et en désactivant Avast! ?
Relance l'outil par la nouvelle icône blanche qui a du être crée.
Le rapport est assez long, il ressemble à ça

A +
Messages postés
14
Date d'inscription
lundi 19 juillet 2010
Statut
Membre
Dernière intervention
23 juillet 2010

C'est bon lol ^^

Je comprend pas pk cela n'a pas fonctionné la premiere fois.

http://www.cijoint.fr/cjlink.php?file=cj201007/cijSXoIsm7.txt
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
2 987
ouais, ben maintenant il manque la fin...grrrrr
Il me manque des éléments pour lancer le nettoyage.
Bon on change de méthode, on va utiliser MalwareBytes :

1. Télécharge ATF (par A-Tribune) sur le bureau
* Lance l'outil
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.

* Coche Select All
* Clique sur Empty Selected
* Clique sur OK dans la boite de dialogue Done cleaning!
* Si tu utilises un autre navigateur que IE, choisis ton navigateur dans l'onglet du haut (Firefox ou Opera )
* Coche Select All
(Si tu souhaites conserver les mots de passe sauvegardés, clique Non à l'invite)
* Clique sur Empty Selected
* Accepte de tout supprimer en cliquant sur OK

Cet outil ne donne pas de rapport, il sert à préparer le passage du logiciel suivant.

2. Lance Malwarebytes' Anti-Malware => !! Effectue la mise à jour !! <=
* Clique dans l'onglet du haut "Recherche"
* Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
* Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

A la fin de l'analyse, si MBAM n'a rien trouvé :

* Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

* Clique sur OK puis "Afficher les résultats"
* Choisis l'option "Supprimer la sélection"
* Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
* Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
* Sinon le rapport s'ouvre automatiquement après la suppression

Quelque soit le résultat, copie/colle le rapport dans le prochain message

A +
Messages postés
14
Date d'inscription
lundi 19 juillet 2010
Statut
Membre
Dernière intervention
23 juillet 2010

Re

Voila le scan est fini.

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4332

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18928

20/07/2010 23:03:40
mbam-log-2010-07-20 (23-03-40).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 292224
Temps écoulé: 1 heure(s), 2 minute(s), 14 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 13
Elément(s) de données du Registre infecté(s): 5
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\xml.xml (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\xml.xml.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{9233c3c0-1472-4091-a505-5580a23bb4ac} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\AvScan (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\51189327 (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\83308830 (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\egvinqvq (Trojan.FakeAlert.N) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\chixaqtf (Trojan.FakeAlert.N) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\urrqrosys (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\awwtqpdrv (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\security master av (Rogue.SecurityMasterAV) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ljgecdsys (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\tutttsdrv (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ddayxvsys (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\urrppodrv (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ddayxvsys (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\urrppodrv (Trojan.Vundo) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CLASSES_ROOT\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (http://findgala.com/?&uid=231&q={searchTerms}) Good: (https://www.google.com/?gws_rd=ssl -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (http://findgala.com/?&uid=231&q={searchTerms}) Good: (https://www.google.com/?gws_rd=ssl -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (http://findgala.com/?&uid=231&q={searchTerms}) Good: (https://www.google.com/?gws_rd=ssl -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (http://findgala.com/?&uid=231&q={searchTerms}) Good: (https://www.google.com/?gws_rd=ssl -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (http://findgala.com/?&uid=231&q={searchTerms}) Good: (https://www.google.com/?gws_rd=ssl -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\ProgramData\51189327 (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\ProgramData\83308830 (Rogue.Multiple) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\_OTL\MovedFiles\07192010_224056\C_ProgramData\cb1e3d3\trz11EA.tmp (Rogue.Installer) -> Quarantined and deleted successfully.
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
2 987
Floriandu77,

Malwarebytes a fait du ménage. On va faire une analyse avec OTL pour voir ce qui reste, puis je ferais un autre script pour enlever ce qui reste et si besoin on relancera Kill'em

Relance OTL
Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
* Laisse tous les autres paramètres par défaut
* Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
* Après le balayage, le rapport OTL.txt va s'ouvrir au format bloc-note
* Héberge le sur http://www.cijoint.fr/ comme la 1er fois

A+