Cheval de troie : generic3_c.euj

Résolu/Fermé
Indoras - 14 oct. 2010 à 13:23
 Ken - 19 juil. 2012 à 03:35
Bonjour,
Voila depuis ce matin j'ai avg qui me détecte une infection, qui revient toute les 30 secondes, que je la place en quarantaine ou pas d'ailleurs.

Infections est nommé: Cheval de Troie : Generic3_c.EUJ
Fichier est un svchost.exe (ce qui ne facilite pas la recherche pour un débutant dans mon genre ^^)

Par contre il note que le nom de processus est : explorer.exe et son ID est soit 5556 soit 812
La question est bien évidemment qu'est ce je dois faire pour m'en débarassé definitivement.

Merci a vous

A voir également:

7 réponses

H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
14 oct. 2010 à 14:25
Salut,

On va commencer par analyser ton PC :

● Télécharge ZHPDiag_silent.exe sur ton bureau. Ceci installera ZHPDiag de Nicolas Coolman.

● Double clique sur ZHPDiag_silent.exe

● Patiente pendant le scan. Un rapport s'ouvrira à la fin.

● Héberge le rapport ZHPDiag.txt (présent sur ton bureau) sur le site ci-joint puis copie/colle le lien fourni dans ta réponse.

Note :
Si tu as des alertes de ton antivirus et/ou pare-feu, ignore-les et autorise l'outil à accéder à internet.
0
Déjà, merci du coup de pouce, c'est sympa :p

Voila le lien de ZHPDiag

http://www.cijoint.fr/cjlink.php?file=cj201010/cijOhwlN2q.txt
0
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
14 oct. 2010 à 15:00
Bien, tu as effectivement plusieurs infections, commence par faire ceci :

● Sous XP : Double clique sur ZHPFix présent sur ton bureau
● Sous Vista/7 : Fais un clic droit sur ZHPFix présent sur ton bureau et sélectionne "Exécuter en tant qu'administrateur"

● Copie (Ctrl + C) le texte suivant :




O4 - HKLM\..\Run: [Windows live messenger] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32\Temps\svchost.exe
O4 - HKCU\..\Run: [Windows movie maker] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32\Temps\svchost.exe
O40 - ASIC: (no name) - {1UKF1FB6-V51U-RUUV-VEL5-202GAXW4QVIG} . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32\Temps\svchost.exe
[HKCU\Software\AppDataLow\Software\Seekmo]
[HKCU\Software\Totem]
[HKCU\Software\XML]




● Clique sur l'icône représentant un H vert, le texte précédemment copier va apparaître

● Clique sur le bouton OK, Tous puis sur Nettoyer

● Copie/colle le rapport qui apparaîtra à la fin

Aide en images
0
Voila le dit rapport:

Rapport de ZHPFix 1.12.3209 par Nicolas Coolman, Update du 12/10/2010
Fichier d'export Registre : C:\ZHPExportRegistry-14-10-2010-15-25-01.txt
Run by Jeffrey at 14/10/2010 15:25:01
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O40 - ASIC: (no name) - {1UKF1FB6-V51U-RUUV-VEL5-202GAXW4QVIG} . (.) -- C:\Windows\System32\Temps\svchost.exe => Clé supprimée avec succès
HKCU\Software\AppDataLow\Software\Seekmo => Clé supprimée avec succès
HKCU\Software\Totem => Clé supprimée avec succès
HKCU\Software\XML => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [Windows live messenger] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32\Temps\svchost.exe => Valeur supprimée avec succès
O4 - HKCU\..\Run: [Windows movie maker] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32\Temps\svchost.exe => Valeur supprimée avec succès

========== Fichier(s) ==========
c:\windows\system32\temps\svchost.exe => Supprimé et mis en quarantaine


========== Récapitulatif ==========
4 : Clé(s) du Registre
2 : Valeur(s) du Registre
1 : Fichier(s)


End of the scan


-----------------------------------------------

Dans le rapport il a bien trouvé le probleme qui est le fichier: c:\windows\system32\temps\svchost.exe

Seulement ce fichier réaparait dans les 15-20 sec apres ça supprésion.

je comprend pas j'avoue :p
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
14 oct. 2010 à 16:02
OK, on passe à la suite :

● Télécharge Malwarebytes' Anti-Malware (MBAM)

● Double clique sur mbam-setup.exe pour lancer l'installation

● Laisse les options par défaut lors de l'installation

● Lance MBAM et laisse les Mises à jour se télécharger

● Va dans l'onglet Recherche, choisis "Exécuter un examen complet" puis clique sur Rechercher
Note : le scan peut durer plusieurs heures en fonction de la quantité de données présente sur ton PC

● A la fin du scan, clique sur Afficher les résultats

● Coche tous les éléments détectés puis clique sur Supprimer la sélection

● S'il t'est demandé de redémarrer, clique sur Yes

● Un rapport va s'ouvrir, copie/colle le dans ta réponse

Le rapport se trouve dans l'onglet Rapports/Logs de MBAM
0
Merci,j'ai suivi tes conseils et ca roule comme sur des roulettes.encore merci ;-)
0
Voila, Je tien a vous dire un grand merci de votre aide et de votre patience.

Le tout avec une rapidité incroyable :p franchement gg comme on dit

Après l'analyse et la suppression a l'aide de malwarebytes. je n'ai plus de soucis (en tout cas avg ne me le dit plus ^^) Je vous poste tout de même le rapport histoire de faire propre.

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4822

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943

14/10/2010 20:50:56
mbam-log-2010-10-14 (20-50-56).txt

Type d'examen: Examen complet (C:\|D:\|E:\|H:\|)
Elément(s) analysé(s): 365189
Temps écoulé: 1 heure(s), 5 minute(s), 2 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{1ukf1fb6-v51u-ruuv-vel5-202gaxw4qvig} (Generic.Bot.H) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows movie maker (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows live messenger (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\System32\Temps\svchost.exe (Generic.Bot.H) -> Quarantined and deleted successfully.
H:\RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\svchost.exe (Worm.Autorun.B) -> Quarantined and deleted successfully.
C:\Users\Jeffrey\AppData\Roaming\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.
C:\Users\Jeffrey\AppData\Local\Temp\MSN.abc (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\Jeffrey\AppData\Local\Temp\UuU.uUu (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\Jeffrey\AppData\Local\Temp\XxX.xXx (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\Jeffrey\AppData\Local\Temp\xxxyyyzzz.dat (Malware.Trace) -> Quarantined and deleted successfully.



Mais voila un grand merci a vous !
0
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
16 oct. 2010 à 12:03
Salut,

Tout n'est pas terminé, tu as encore une infection qui se propage via les disques amovibles, fais ceci :

Note : tu as une infection qui se propage par les disques amovibles.

● Télécharge USBFix (de El Desaparecido et C_XX) sur ton Bureau

● Double clique sur UsbFix.exe

● Clique sur le bouton "Recherche"

Branche à ton PC tes disques amovibles (clé USB, disque dur externe, lecteur MP3, téléphone, etc...) sans les ouvrir et clique sur le bouton OK

● Patiente pendant que l'outil travaille

● A la fin du scan un rapport va s'ouvrir, copie/colle le dans ta réponse

Le rapport est sauvegardé dans C:\UsbFix.txt

Note :
UsbFix.exe peut être détecté à tort par certains antivirus, ignore l'alerte.
0