Virus : win32 malware gen

Résolu
Floriandu77 Messages postés 14 Date d'inscription   Statut Membre Dernière intervention   -  
 Yul 13 -
Bonjour,

Mon PC est infecté par un virus Win32 malware gen.
Je n'arrive absolument pas à m'en débarasser.
Quelqu'un aurait une solution ?

Merci de votre attention.

36 réponses

  • 1
  • 2
  1. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour

    Peux-tu me donner le nom et le répertoire du fichier détecté comme Win32 malware gen ?

    Ensuite utilise cet outil de diagnostic afin d'identifier les problèmes de ton ordinateur.

    Télécharge OTL (de OldTimer) sur ton Bureau.

    !! Ferme toutes tes applications en cours !!

    * Lance OTL.exe
    - Sous XP double-clic sur l'icône pour lancer l'outil.
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.

    * L'interface principale s'ouvre :
    * Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
    * Coche également les cases Recherche LOP et Recherche Purity
    * Laisse tous les autres paramètres par défaut (âge du fichier 30 jours)
    * Clique sur le bouton Analyse, patiente pendant le balayage du système.
    * 2 rapports vont s'ouvrir au format bloc-note : OTL.txt (qui sera affiché) ainsi que de Extras.txt (réduit dans la barre des tâches)

    Ne les poste pas sur le forum, ils seraient trop long !

    Pour me les transmettre tu dois te rendre sur ce site http://www.cijoint.fr/ , tu cliques sur parcourir et tu sélectionnes le premier rapport sur ton bureau, tu coches "Rendre public le fichier" et ensuite tu cliques sur "Cliquez ici pour déposer le fichier", il va te donner un lien de ce type http://www.cijoint.fr/cjlink.php?file=cj200906/XcijvLjYL5L.txt que tu copies/colles dans ton message. idem pour le 2nd rapport.

    A +
    0
  2. Floriandu77 Messages postés 14 Date d'inscription   Statut Membre Dernière intervention  
     
    D'après mon dernier scan j'ai plus de 20 000 fichiers infectés...
    - C:\ProgramData\cb1e3d3\trz11EA.tmp
    - Tous les autres seraient dans : C:\Windows\System32\

    J'installe et effectue les manips, merci de la rapidité de réponse.
    0
  3. i am toto Messages postés 672 Date d'inscription   Statut Membre Dernière intervention   45
     
    20 000 c'est beacoup, je pense que c'est , certainement ses sorte de virus qui installe je ne sait combien de fichier sans intéret pour bouffé ton ordi ou réduire un max la mémoire.
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Floriandu77 Messages postés 14 Date d'inscription   Statut Membre Dernière intervention  
     
    Re,

    Le scan est terminé.
    Je post donc les 2 rapports.

    OTL : http://www.cijoint.fr/cjlink.php?file=cj201007/cijG6mikDL.txt
    EXTRA : http://www.cijoint.fr/cjlink.php?file=cj201007/cijW0Yprb2.txt

    Je ne m'y connais pas beaucoup en ce qui concerne les virus et autre mais je crois bien qu'il s'agit d'un virus qui veut me bouffer ma mémoire.
    0
  6. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Floriandu77,

    Pas un virus mais de multiples infections et de multiples sortes.

    Durant la désinfection, il est préférable de ne pas :

    1. Ajouter de programmes à ton PC
    2. Utiliser d'outil de désinfection de ta propre initiative
    3. Suivre d'autres conseils afin de ne pas interférer sur la procédure en cours

    Il est préférable de terminer la procédure même si ton PC semble aller mieux.

    N'hésite pas à me faire part d'éventuelles difficultés dans les manipulations demandées.

    Afin de permettre aux outils de désinfection de travailler correctement :
    Désactiver l'UAC sous Vista

    ***************************************************************

    1. Désinstalle les programmes suivants :

    SearchTheWeb
    IMBooster4Web
    IMBooster     
    radiodofus Toolbar
    Fast Browser Search Toolbar Helper
    myBabylon English4 Toolbar


    2. Télécharge AD-Remover (CC_X) sur le bureau

    Désactive la protection résidente de ton anti-virus

    * Lance Ad-Remover
    - Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    * Clique sur "Oui" dans la boite de dialogue
    * Dans l'interface principale, clique sur le bouton Nettoyer puis confirme l'action en cliquant sur "Oui"
    * Patiente le temps du scan (le bureau peut disparaitre), le rapport doit s'ouvrir spontanément à la fin.
    * Clique sur Quitter

    Copie/colle le rapport dans ton prochain message.

    Si le rapport ne s'ouvre pas spontanément, il se trouve à la racine du disque C:\Ad-report-CLEAN

    "Process.exe" est détecté par certains antivirus comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus


    3. Télécharge et installe UsbFix (par C_XX & El Desaparecido) sur le Bureau
    ! ! Branche tous tes supports amovibles (clés USB, DD externes, etc...) sans les ouvrir !!
    * lance UsbFix
    - Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    * Clique sur le bouton "Recherche"
    * Patiente le temps du balayage qui peut durer plusieurs minutes
    * Le rapport doit s'ouvrir spontanément à la fin du scan
    * Copie/colle le rapport dans le prochain message

    Le rapport est sauvegardé à la racine du disque C:\Usbfix.txt

    "Process.exe" est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Le mieux étant de désactiver temporairement ton antivirus

    A +
    0
  7. Floriandu77
     
    Merci,

    J'ai fait les manipulations, voici les rapports.

    http://www.cijoint.fr/cjlink.php?file=cj201007/cijtS4KACX.txt
    http://www.cijoint.fr/cjlink.php?file=cj201007/cijA2tkCm2.txt
    0
  8. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Floriandu77,

    1. !! Ferme toutes tes applications en cours et désactive la protection résidente de ton anti-virus !!

    Branche tous tes supports amovibles (clés USB, DD externes, etc...) sans les ouvrir

    * Relance UsbFix en choisissant maintenant "Suppression"
    - Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    * UsbFix scanne ton pc, laisse travailler l'outil (le bureau peut disparaitre)
    * A la fin du nettoyage, clique sur OK dans la boite de dialogue
    * Upload le dossier zip demandé
    * Le rapport doit s'ouvrir spontanément, copie/colle le dans le prochain message

    Il est recommandé de redémarrer le pc après cette opération

    Le rapport est sauvegardé à la racine du disque C:\Usbfix.txt

    Rappel : "Process.exe" est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus

    2. Relance OTL
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    * L'interface principale s'ouvre :
    * Dans la partie du bas "Personnalisation", copie/colle la liste complète de la pièce jointe : http://www.cijoint.fr/cj201007/cijFK2iHYE.txt
    * Clique sur le bouton Correction, patiente pendant le travail de l'outil, à la fin il va redémarrer le PC.
    * Après le re-démarrage, le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément
    * Copie/colle le dans ton prochain message

    Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles (Vérifie la date si besoin : jjmmaaaa_xxxxxxxx.log)

    A +
    0
  9. Floriandu77 Messages postés 14 Date d'inscription   Statut Membre Dernière intervention  
     
    J'ai quelques petits problemes avec l'éxécution de OTL qui semble ne jamais vouloir se terminer ceci après des heures de traitement ... je réessaye dons plusieurs fois ... j'attend de voir.
    Sinon voici le rapport de Usb.

    http://www.cijoint.fr/cjlink.php?file=cj201007/cijaghv6Km.txt
    0
  10. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Salut,

    Le script est un peu long mais ce n'est pas normal. Si ça bloque, on effectuera une autre opération avant. J'ai vu que tu avais téléchargé MalwareBytes, as-tu fait un scan avec ce logiciel ?

    A +
    0
  11. Floriandu77 Messages postés 14 Date d'inscription   Statut Membre Dernière intervention  
     
    Re,

    Nan aucun scan avec MalwareBytes.
    0
  12. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    re,

    Laisse pour l'instant OTL, on y reviendra.

    Télécharge et enregistre List_Kill'em (de gen-hackman) sur le Bureau.

    !! Important => Désactive ton antivirus !!

    * Lance l'installation
    - Sous XP double-clic sur l'icône pour lancer l'outil.
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.

    (une nouvelle icône blanche est créée sur le bureau)
    * Fait l'installation par défaut en cliquant à chaque fois sur suivant
    * Clique enfin sur "Terminer" et le programme va se lancer
    * Choisis l'option "Search"
    * Patiente pendant le travail de l'outil qui peut prendre plusieurs minutes
    * A l'apparition d'une fenêtre blanche, même si c'est long, c'est normal, le programme n'est pas bloqué.
    * Un rapport "catchme" apparait sur le bureau, ignore-le, il disparaitra en fin de scan
    * Le rapport s'ouvre spontanément après 100 % du scan à l'ecran "COMPLETED"
    * Héberge le rapport sur http://www.cijoint.fr

    A +
    0
  13. Floriandu77 Messages postés 14 Date d'inscription   Statut Membre Dernière intervention  
     
    Re,

    Voici le rapport

    http://www.cijoint.fr/cjlink.php?file=cj201007/cijilIHFT9.txt
    0
  14. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    re,

    C'est pas le bon, es-tu sûr d'avoir lancé l'option Search ?

    A +
    0
  15. Floriandu77 Messages postés 14 Date d'inscription   Statut Membre Dernière intervention  
     
    Re,

    Pourtant oui... c'est le rapport que j'obtient a 100%.
    Dois je relancer ?
    0
  16. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Oui, je comprends pas..
    Tu as bien exécuter en tant qu'administrateur et en désactivant Avast! ?
    Relance l'outil par la nouvelle icône blanche qui a du être crée.
    Le rapport est assez long, il ressemble à ça

    A +
    0
  17. Floriandu77 Messages postés 14 Date d'inscription   Statut Membre Dernière intervention  
     
    C'est bon lol ^^

    Je comprend pas pk cela n'a pas fonctionné la premiere fois.

    http://www.cijoint.fr/cjlink.php?file=cj201007/cijSXoIsm7.txt
    0
  18. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    ouais, ben maintenant il manque la fin...grrrrr
    Il me manque des éléments pour lancer le nettoyage.
    Bon on change de méthode, on va utiliser MalwareBytes :

    1. Télécharge ATF (par A-Tribune) sur le bureau
    * Lance l'outil
    - Sous XP double-clic sur l'icône pour lancer l'outil.
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.

    * Coche Select All
    * Clique sur Empty Selected
    * Clique sur OK dans la boite de dialogue Done cleaning!
    * Si tu utilises un autre navigateur que IE, choisis ton navigateur dans l'onglet du haut (Firefox ou Opera )
    * Coche Select All
    (Si tu souhaites conserver les mots de passe sauvegardés, clique Non à l'invite)
    * Clique sur Empty Selected
    * Accepte de tout supprimer en cliquant sur OK

    Cet outil ne donne pas de rapport, il sert à préparer le passage du logiciel suivant.

    2. Lance Malwarebytes' Anti-Malware => !! Effectue la mise à jour !! <=
    * Clique dans l'onglet du haut "Recherche"
    * Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
    * Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

    A la fin de l'analyse, si MBAM n'a rien trouvé :

    * Clique sur OK, le rapport s'ouvre spontanément

    Si des menaces ont été détectées :

    * Clique sur OK puis "Afficher les résultats"
    * Choisis l'option "Supprimer la sélection"
    * Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
    * Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
    * Sinon le rapport s'ouvre automatiquement après la suppression

    Quelque soit le résultat, copie/colle le rapport dans le prochain message

    A +
    0
  19. Floriandu77 Messages postés 14 Date d'inscription   Statut Membre Dernière intervention  
     
    Re

    Voila le scan est fini.

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4332

    Windows 6.0.6002 Service Pack 2
    Internet Explorer 8.0.6001.18928

    20/07/2010 23:03:40
    mbam-log-2010-07-20 (23-03-40).txt

    Type d'examen: Examen complet (C:\|D:\|E:\|)
    Elément(s) analysé(s): 292224
    Temps écoulé: 1 heure(s), 2 minute(s), 14 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 5
    Valeur(s) du Registre infectée(s): 13
    Elément(s) de données du Registre infecté(s): 5
    Dossier(s) infecté(s): 2
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CLASSES_ROOT\xml.xml (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\xml.xml.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\Typelib\{9233c3c0-1472-4091-a505-5580a23bb4ac} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\AvScan (Trojan.FakeAlert) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\51189327 (Rogue.Multiple) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\83308830 (Rogue.Multiple) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\egvinqvq (Trojan.FakeAlert.N) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\chixaqtf (Trojan.FakeAlert.N) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\urrqrosys (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\awwtqpdrv (Trojan.Agent) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\security master av (Rogue.SecurityMasterAV) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ljgecdsys (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\tutttsdrv (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ddayxvsys (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\urrppodrv (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ddayxvsys (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\urrppodrv (Trojan.Vundo) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    HKEY_CLASSES_ROOT\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (http://findgala.com/?&uid=231&q={searchTerms}) Good: (https://www.google.com/?gws_rd=ssl -> Quarantined and deleted successfully.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (http://findgala.com/?&uid=231&q={searchTerms}) Good: (https://www.google.com/?gws_rd=ssl -> Quarantined and deleted successfully.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (http://findgala.com/?&uid=231&q={searchTerms}) Good: (https://www.google.com/?gws_rd=ssl -> Quarantined and deleted successfully.
    HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (http://findgala.com/?&uid=231&q={searchTerms}) Good: (https://www.google.com/?gws_rd=ssl -> Quarantined and deleted successfully.
    HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (http://findgala.com/?&uid=231&q={searchTerms}) Good: (https://www.google.com/?gws_rd=ssl -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    C:\ProgramData\51189327 (Rogue.Multiple) -> Quarantined and deleted successfully.
    C:\ProgramData\83308830 (Rogue.Multiple) -> Quarantined and deleted successfully.

    Fichier(s) infecté(s):
    C:\_OTL\MovedFiles\07192010_224056\C_ProgramData\cb1e3d3\trz11EA.tmp (Rogue.Installer) -> Quarantined and deleted successfully.
    0
  20. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Floriandu77,

    Malwarebytes a fait du ménage. On va faire une analyse avec OTL pour voir ce qui reste, puis je ferais un autre script pour enlever ce qui reste et si besoin on relancera Kill'em

    Relance OTL
    Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    * Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
    * Laisse tous les autres paramètres par défaut
    * Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
    * Après le balayage, le rapport OTL.txt va s'ouvrir au format bloc-note
    * Héberge le sur http://www.cijoint.fr/ comme la 1er fois

    A+
    0
  • 1
  • 2