Cheval de troie : generic3_c.euj
Résolu/Fermé
Bonjour,
Voila depuis ce matin j'ai avg qui me détecte une infection, qui revient toute les 30 secondes, que je la place en quarantaine ou pas d'ailleurs.
Infections est nommé: Cheval de Troie : Generic3_c.EUJ
Fichier est un svchost.exe (ce qui ne facilite pas la recherche pour un débutant dans mon genre ^^)
Par contre il note que le nom de processus est : explorer.exe et son ID est soit 5556 soit 812
La question est bien évidemment qu'est ce je dois faire pour m'en débarassé definitivement.
Merci a vous
Voila depuis ce matin j'ai avg qui me détecte une infection, qui revient toute les 30 secondes, que je la place en quarantaine ou pas d'ailleurs.
Infections est nommé: Cheval de Troie : Generic3_c.EUJ
Fichier est un svchost.exe (ce qui ne facilite pas la recherche pour un débutant dans mon genre ^^)
Par contre il note que le nom de processus est : explorer.exe et son ID est soit 5556 soit 812
La question est bien évidemment qu'est ce je dois faire pour m'en débarassé definitivement.
Merci a vous
A voir également:
- Cheval de troie : generic3_c.euj
- Comment supprimer cheval de troie gratuitement - Télécharger - Antivirus & Antimalwares
- Ordinateur bloqué cheval de troie - Accueil - Arnaque
- Cheval de troie virus - Accueil - Virus
- Message cheval de troie - Forum Virus
- Skyrim cheval perdu - Forum Jeux PC
7 réponses
H3RV3
Messages postés
3591
Date d'inscription
samedi 17 octobre 2009
Statut
Contributeur sécurité
Dernière intervention
7 novembre 2014
280
14 oct. 2010 à 14:25
14 oct. 2010 à 14:25
Salut,
On va commencer par analyser ton PC :
● Télécharge ZHPDiag_silent.exe sur ton bureau. Ceci installera ZHPDiag de Nicolas Coolman.
● Double clique sur ZHPDiag_silent.exe
● Patiente pendant le scan. Un rapport s'ouvrira à la fin.
● Héberge le rapport ZHPDiag.txt (présent sur ton bureau) sur le site ci-joint puis copie/colle le lien fourni dans ta réponse.
Note :
Si tu as des alertes de ton antivirus et/ou pare-feu, ignore-les et autorise l'outil à accéder à internet.
On va commencer par analyser ton PC :
● Télécharge ZHPDiag_silent.exe sur ton bureau. Ceci installera ZHPDiag de Nicolas Coolman.
● Double clique sur ZHPDiag_silent.exe
● Patiente pendant le scan. Un rapport s'ouvrira à la fin.
● Héberge le rapport ZHPDiag.txt (présent sur ton bureau) sur le site ci-joint puis copie/colle le lien fourni dans ta réponse.
Note :
Si tu as des alertes de ton antivirus et/ou pare-feu, ignore-les et autorise l'outil à accéder à internet.
Déjà, merci du coup de pouce, c'est sympa :p
Voila le lien de ZHPDiag
http://www.cijoint.fr/cjlink.php?file=cj201010/cijOhwlN2q.txt
Voila le lien de ZHPDiag
http://www.cijoint.fr/cjlink.php?file=cj201010/cijOhwlN2q.txt
H3RV3
Messages postés
3591
Date d'inscription
samedi 17 octobre 2009
Statut
Contributeur sécurité
Dernière intervention
7 novembre 2014
280
14 oct. 2010 à 15:00
14 oct. 2010 à 15:00
Bien, tu as effectivement plusieurs infections, commence par faire ceci :
● Sous XP : Double clique sur ZHPFix présent sur ton bureau
● Sous Vista/7 : Fais un clic droit sur ZHPFix présent sur ton bureau et sélectionne "Exécuter en tant qu'administrateur"
● Copie (Ctrl + C) le texte suivant :
● Clique sur l'icône représentant un H vert, le texte précédemment copier va apparaître
● Clique sur le bouton OK, Tous puis sur Nettoyer
● Copie/colle le rapport qui apparaîtra à la fin
► Aide en images
● Sous XP : Double clique sur ZHPFix présent sur ton bureau
● Sous Vista/7 : Fais un clic droit sur ZHPFix présent sur ton bureau et sélectionne "Exécuter en tant qu'administrateur"
● Copie (Ctrl + C) le texte suivant :
O4 - HKLM\..\Run: [Windows live messenger] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32\Temps\svchost.exe O4 - HKCU\..\Run: [Windows movie maker] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32\Temps\svchost.exe O40 - ASIC: (no name) - {1UKF1FB6-V51U-RUUV-VEL5-202GAXW4QVIG} . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32\Temps\svchost.exe [HKCU\Software\AppDataLow\Software\Seekmo] [HKCU\Software\Totem] [HKCU\Software\XML]
● Clique sur l'icône représentant un H vert, le texte précédemment copier va apparaître
● Clique sur le bouton OK, Tous puis sur Nettoyer
● Copie/colle le rapport qui apparaîtra à la fin
► Aide en images
Voila le dit rapport:
Rapport de ZHPFix 1.12.3209 par Nicolas Coolman, Update du 12/10/2010
Fichier d'export Registre : C:\ZHPExportRegistry-14-10-2010-15-25-01.txt
Run by Jeffrey at 14/10/2010 15:25:01
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé(s) du Registre ==========
O40 - ASIC: (no name) - {1UKF1FB6-V51U-RUUV-VEL5-202GAXW4QVIG} . (.) -- C:\Windows\System32\Temps\svchost.exe => Clé supprimée avec succès
HKCU\Software\AppDataLow\Software\Seekmo => Clé supprimée avec succès
HKCU\Software\Totem => Clé supprimée avec succès
HKCU\Software\XML => Clé supprimée avec succès
========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [Windows live messenger] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32\Temps\svchost.exe => Valeur supprimée avec succès
O4 - HKCU\..\Run: [Windows movie maker] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32\Temps\svchost.exe => Valeur supprimée avec succès
========== Fichier(s) ==========
c:\windows\system32\temps\svchost.exe => Supprimé et mis en quarantaine
========== Récapitulatif ==========
4 : Clé(s) du Registre
2 : Valeur(s) du Registre
1 : Fichier(s)
End of the scan
-----------------------------------------------
Dans le rapport il a bien trouvé le probleme qui est le fichier: c:\windows\system32\temps\svchost.exe
Seulement ce fichier réaparait dans les 15-20 sec apres ça supprésion.
je comprend pas j'avoue :p
Rapport de ZHPFix 1.12.3209 par Nicolas Coolman, Update du 12/10/2010
Fichier d'export Registre : C:\ZHPExportRegistry-14-10-2010-15-25-01.txt
Run by Jeffrey at 14/10/2010 15:25:01
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé(s) du Registre ==========
O40 - ASIC: (no name) - {1UKF1FB6-V51U-RUUV-VEL5-202GAXW4QVIG} . (.) -- C:\Windows\System32\Temps\svchost.exe => Clé supprimée avec succès
HKCU\Software\AppDataLow\Software\Seekmo => Clé supprimée avec succès
HKCU\Software\Totem => Clé supprimée avec succès
HKCU\Software\XML => Clé supprimée avec succès
========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [Windows live messenger] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32\Temps\svchost.exe => Valeur supprimée avec succès
O4 - HKCU\..\Run: [Windows movie maker] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32\Temps\svchost.exe => Valeur supprimée avec succès
========== Fichier(s) ==========
c:\windows\system32\temps\svchost.exe => Supprimé et mis en quarantaine
========== Récapitulatif ==========
4 : Clé(s) du Registre
2 : Valeur(s) du Registre
1 : Fichier(s)
End of the scan
-----------------------------------------------
Dans le rapport il a bien trouvé le probleme qui est le fichier: c:\windows\system32\temps\svchost.exe
Seulement ce fichier réaparait dans les 15-20 sec apres ça supprésion.
je comprend pas j'avoue :p
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
H3RV3
Messages postés
3591
Date d'inscription
samedi 17 octobre 2009
Statut
Contributeur sécurité
Dernière intervention
7 novembre 2014
280
14 oct. 2010 à 16:02
14 oct. 2010 à 16:02
OK, on passe à la suite :
● Télécharge Malwarebytes' Anti-Malware (MBAM)
● Double clique sur mbam-setup.exe pour lancer l'installation
● Laisse les options par défaut lors de l'installation
● Lance MBAM et laisse les Mises à jour se télécharger
● Va dans l'onglet Recherche, choisis "Exécuter un examen complet" puis clique sur Rechercher
Note : le scan peut durer plusieurs heures en fonction de la quantité de données présente sur ton PC
● A la fin du scan, clique sur Afficher les résultats
● Coche tous les éléments détectés puis clique sur Supprimer la sélection
● S'il t'est demandé de redémarrer, clique sur Yes
● Un rapport va s'ouvrir, copie/colle le dans ta réponse
▲ Le rapport se trouve dans l'onglet Rapports/Logs de MBAM
● Télécharge Malwarebytes' Anti-Malware (MBAM)
● Double clique sur mbam-setup.exe pour lancer l'installation
● Laisse les options par défaut lors de l'installation
● Lance MBAM et laisse les Mises à jour se télécharger
● Va dans l'onglet Recherche, choisis "Exécuter un examen complet" puis clique sur Rechercher
Note : le scan peut durer plusieurs heures en fonction de la quantité de données présente sur ton PC
● A la fin du scan, clique sur Afficher les résultats
● Coche tous les éléments détectés puis clique sur Supprimer la sélection
● S'il t'est demandé de redémarrer, clique sur Yes
● Un rapport va s'ouvrir, copie/colle le dans ta réponse
▲ Le rapport se trouve dans l'onglet Rapports/Logs de MBAM
Voila, Je tien a vous dire un grand merci de votre aide et de votre patience.
Le tout avec une rapidité incroyable :p franchement gg comme on dit
Après l'analyse et la suppression a l'aide de malwarebytes. je n'ai plus de soucis (en tout cas avg ne me le dit plus ^^) Je vous poste tout de même le rapport histoire de faire propre.
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4822
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943
14/10/2010 20:50:56
mbam-log-2010-10-14 (20-50-56).txt
Type d'examen: Examen complet (C:\|D:\|E:\|H:\|)
Elément(s) analysé(s): 365189
Temps écoulé: 1 heure(s), 5 minute(s), 2 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{1ukf1fb6-v51u-ruuv-vel5-202gaxw4qvig} (Generic.Bot.H) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows movie maker (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows live messenger (Trojan.Agent) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Windows\System32\Temps\svchost.exe (Generic.Bot.H) -> Quarantined and deleted successfully.
H:\RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\svchost.exe (Worm.Autorun.B) -> Quarantined and deleted successfully.
C:\Users\Jeffrey\AppData\Roaming\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.
C:\Users\Jeffrey\AppData\Local\Temp\MSN.abc (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\Jeffrey\AppData\Local\Temp\UuU.uUu (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\Jeffrey\AppData\Local\Temp\XxX.xXx (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\Jeffrey\AppData\Local\Temp\xxxyyyzzz.dat (Malware.Trace) -> Quarantined and deleted successfully.
Mais voila un grand merci a vous !
Le tout avec une rapidité incroyable :p franchement gg comme on dit
Après l'analyse et la suppression a l'aide de malwarebytes. je n'ai plus de soucis (en tout cas avg ne me le dit plus ^^) Je vous poste tout de même le rapport histoire de faire propre.
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4822
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943
14/10/2010 20:50:56
mbam-log-2010-10-14 (20-50-56).txt
Type d'examen: Examen complet (C:\|D:\|E:\|H:\|)
Elément(s) analysé(s): 365189
Temps écoulé: 1 heure(s), 5 minute(s), 2 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{1ukf1fb6-v51u-ruuv-vel5-202gaxw4qvig} (Generic.Bot.H) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows movie maker (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows live messenger (Trojan.Agent) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Windows\System32\Temps\svchost.exe (Generic.Bot.H) -> Quarantined and deleted successfully.
H:\RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\svchost.exe (Worm.Autorun.B) -> Quarantined and deleted successfully.
C:\Users\Jeffrey\AppData\Roaming\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.
C:\Users\Jeffrey\AppData\Local\Temp\MSN.abc (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\Jeffrey\AppData\Local\Temp\UuU.uUu (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\Jeffrey\AppData\Local\Temp\XxX.xXx (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\Jeffrey\AppData\Local\Temp\xxxyyyzzz.dat (Malware.Trace) -> Quarantined and deleted successfully.
Mais voila un grand merci a vous !
H3RV3
Messages postés
3591
Date d'inscription
samedi 17 octobre 2009
Statut
Contributeur sécurité
Dernière intervention
7 novembre 2014
280
16 oct. 2010 à 12:03
16 oct. 2010 à 12:03
Salut,
Tout n'est pas terminé, tu as encore une infection qui se propage via les disques amovibles, fais ceci :
Note : tu as une infection qui se propage par les disques amovibles.
● Télécharge USBFix (de El Desaparecido et C_XX) sur ton Bureau
● Double clique sur UsbFix.exe
● Clique sur le bouton "Recherche"
● Branche à ton PC tes disques amovibles (clé USB, disque dur externe, lecteur MP3, téléphone, etc...) sans les ouvrir et clique sur le bouton OK
● Patiente pendant que l'outil travaille
● A la fin du scan un rapport va s'ouvrir, copie/colle le dans ta réponse
▲ Le rapport est sauvegardé dans C:\UsbFix.txt
Note :
UsbFix.exe peut être détecté à tort par certains antivirus, ignore l'alerte.
Tout n'est pas terminé, tu as encore une infection qui se propage via les disques amovibles, fais ceci :
Note : tu as une infection qui se propage par les disques amovibles.
● Télécharge USBFix (de El Desaparecido et C_XX) sur ton Bureau
● Double clique sur UsbFix.exe
● Clique sur le bouton "Recherche"
● Branche à ton PC tes disques amovibles (clé USB, disque dur externe, lecteur MP3, téléphone, etc...) sans les ouvrir et clique sur le bouton OK
● Patiente pendant que l'outil travaille
● A la fin du scan un rapport va s'ouvrir, copie/colle le dans ta réponse
▲ Le rapport est sauvegardé dans C:\UsbFix.txt
Note :
UsbFix.exe peut être détecté à tort par certains antivirus, ignore l'alerte.