Generic19.BHKW

Résolu/Fermé
spire - 18 oct. 2010 à 13:14
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 - 22 oct. 2010 à 21:41
Bonjour,


J'un depuis ce matin une alerte de mon bouclier résident qui a détecté la présence du trojan Generic19.BHWK.
J'ai tenté de le supprimer via mon anti-virus AVG mais sans succès...
Essayé avec Spybot mais toujours là. Que dois-je faire ?

41 réponses

benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
18 oct. 2010 à 13:26
salut

télécharge

https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

a l'installation vérifie que mise a jour et lancer programme et scan complet sont bien cocher

Une fois a jour, le programme va se lancer; clic sur l'onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression".

A la fin du scan clique sur Afficher les résultats

Vérifier si tout est coché et clic Supprimer la sélection

S'il t'es demandé de redémarrer >>> clique sur "Yes"

Et tu poste le rapport générer
0
Bonjour et merci pour la réponse !

Voici le log de Malware :


Temps écoulé: 2 heure(s), 48 minute(s), 5 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mscjm.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mscj.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Documents and Settings\Utilisateur\Menu Démarrer\Programmes\AntiVirus 2010 (Rogue.AntiVirus2010) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Documents and Settings\Utilisateur\Menu Démarrer\Programmes\AntiVirus 2010\Activate AntiVirus 2010.lnk (Rogue.AntiVirus2010) -> Quarantined and deleted successfully.
C:\Documents and Settings\Utilisateur\Menu Démarrer\Programmes\AntiVirus 2010\AntiVirus 2010.lnk (Rogue.AntiVirus2010) -> Quarantined and deleted successfully.
C:\Documents and Settings\Utilisateur\Menu Démarrer\Programmes\AntiVirus 2010\Help AntiVirus 2010.lnk (Rogue.AntiVirus2010) -> Quarantined and deleted successfully.
C:\Documents and Settings\Utilisateur\Menu Démarrer\Programmes\AntiVirus 2010\How to Activate AntiVirus 2010.lnk (Rogue.AntiVirus2010) -> Quarantined and deleted successfully."
0
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
18 oct. 2010 à 18:45
DÉSACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRÉSENTS !!!!!(car il est détecte a tort comme infection)

Télécharge ici :List_Kill'em de gen-hackman

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe


et enregistre le sur ton bureau

windows 7 => clic droit "exécuter en tant que administrateur

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

Exécuter List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

Il commencera par telecharger et installer ses mises à jour , puis te donnera son menu

choisis l'option Search

laisse travailler l'outil

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agrée"

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

------ NE LE POSTE PAS SUR LE FORUM-------

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

Clique sur Parcourir et cherche le fichier C:\List'em.txt

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.
0
Bonsoir,

Voici le lien vers le log :

http://www.cijoint.fr/cjlink.php?file=cj201010/cij0iamsQe.txt
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
18 oct. 2010 à 20:25
je voit avast et avg

il faut faire un choix tu peut pas les garder les 2


Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :

choisis l'option CLEAN

laisse travailler l'outil.

en fin de scan la fenêtre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau
0
Tu me conseillerais a priori de garder lequel des 2 ?
0
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
18 oct. 2010 à 20:36
desoler pour moi tu vire les 2 et installe antivir

sinon sur les 2 je pense que avg et mieux que avast
0
J'ai viré Avast.
Par contre, impossible de retrouver le rapport du log "Kill'em.txt" sur mon bureau !
0
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
18 oct. 2010 à 22:23
s'il y'est pas c'est qu'il a pas tourner relance le avec l'option clean
0
Bonjour benurr,

Peut-être est-ce parce que que j'ai 3 ou 4 messages d'erreur au lancement du "clean" : "Erreur lors de la sauvegarde du fichier C:\kill'em\save\security - continuer avec le fichier suivant ? [RegCreateKeyEx : 5 - Accès refusé] ?
Le scan se poursuit jusqu'à 100 % malgré tout, mais pas de log sur le bureau.
0
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
19 oct. 2010 à 07:52
DÉSACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRÉSENTS !!!!!(car il est détecte a tort comme infection)
0
Si tu parles d'"Antivirus 2010", je ne pense pas que ce soit lié à AVG, mais plutôt le nom du trojan.
Par contre, j'avais déjà désactivé mon bouclier résident, contrairement à l'anti-virus que j'ai pas réussi à désactiver (pas de case à décocher ni de de fonction sur clic droit....).
0
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
19 oct. 2010 à 11:30
c'est le probleme de avg

"pour le clean de list_kill'em s'il ne fonctionne pas :
exécuter clic droit en tant qu'administrateur :
C:\Program Files (X86)\List_kill'em\del_reg "
0
Bonsoir benurr,

- Pour AVG free, je ne peux que désactiver le bouclier résident, cependant cela doit suffire.
- Pour le clean, j'ai suivi tes consignes en tapant dans mot de passe : C:\Program Files (X86)\List_kill'em\del_reg
mais j'ai un message d'erreur : "impossible d'ouvrir la session : mot de passe non valide ou nom d'utilisateur non valide". J'ai pourtant suivi tes instructions à la lettre en faisant un clic droit puis "exécuter en tant que..." + "en cochant "utilisateur suivant" > "utilisateur" > mot de passe indiqué ci-dessus.
Quelque chose m'a peut-être échappé ?
Merci pour ta réponse.
0
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
19 oct. 2010 à 20:05
Télécharge combofix :
Faire un clic droit sur le lien
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

* Choisir : "Enregistrer la cible du lien sous..."
* Choisir le Bureau comme destination.
* Dans le champ "Nom du fichier", renommer ComboFix.exe en CCM.exe par exemple, puis enregistrer.
* Attention ! L'étape de renommage est obligatoire sous peine de voir afficher le message "ComboFix.exe n'est pas une application win32 valide" et de le rendre ainsi totalement inefficace.

Note importante :tu est sous Vista

la désactivation du Contrôle des comptes utilisateurs est obligatoire

Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac­er-l-uac

pour toute manipulation fait comme ceci( clic droit "exécuter en tant qu'administrateur" pour Vista/7 )

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

-Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. risque de figer l'ordi

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordi (plantage complet)

::Si combofix detecte quelque chose et de demande a redémarrer tu accepte
0
Je viens d'enregistrer ComboFix. Par contre, je suis sous XP et non sous Vista !
Est-ce que çà change qq chose pour la manip ?
0
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
19 oct. 2010 à 20:25
ignore les manip pour vista
0
C'est décourageant !....
Je ne peux absolument pas désactiver l'anti-virus et ComboFix l'a détecté, d'où message d'alerte !
J'ai essayé du coup de virer AVG en le désinstallant mais j'ai ce message d'erreur qui apparait : "Machine locale: l'installation a échoué
Installation :
Erreur: Echec de l'opération clé de registre HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows: création d'une clé de registre....
Accès refusé."
0
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
19 oct. 2010 à 21:00
Ok tu passera combo après sa

tu va télécharger Ccleaner http://dl.commentcamarche.net/www.commentcamarche.net/download/files/ccsetup227_slim.exe

ouvre "Ccleaner" vas dans l'onglet "Option" puis "Avancé" puis décoches "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures."

. Puis vas dans l'onglet "Nettoyeur" fais "Analyse" puis "Lancer le nettoyage".
Puis vas dans l'onglet "Registre" puis fait "Chercher des erreurs" puis "Réparer les erreurs sélectionnée"
. Tu refais tous ca 4-5 fois (le nettoyage et le registre).

Puis reste dans "Ccleaner" puis va dans "Option" puis "Propriété" puis coches "Nettoyer automatiquement l'ordinateur au démarrage".

içi mode d'emploi pour ccleaner

https://www.malekal.com/tutoriel-ccleaner/
0
Bizarre, mon post n'est pas enregistré !...
0
j'ai posté mon log suite à combo mais le forum ne l'a pas enregistré...
0
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
Modifié par benurrr le 19/10/2010 à 22:16
alors fais ceci :

Clique sur ce lien :

http://www.cijoint.fr/

Clique sur Parcourir et cherche le fichier C:\Combofix.txt

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.
Par Manque De Curiosité On Risque De Mourir Ignorant;Tu es libre de penser que tu es C..,
Mais C.. de penser que ­tu es libre...Merci a australe13
0
ok alors voici le lien :

http://www.cijoint.fr/cjlink.php?file=cj201010/cijN074VWm.txt
0