Trojan tr/dropper.gen;Java/Agent2212 Résolu/Fermé

Question

Bonjour,
D'avance merci au contributeur qui voudra bien me répondre. Antivir version 10 me détecte depuis 3 jours quelques "bestioles" qu'il met en quarantaine mais ne me supprime pas puisqu'elles réapparaissent. Malwarebytes régulièrement mis à jour ne me détecte rien. J'utilise CCleaner tous les jours et Comodo mis à jour comme firewall. J'ai fait un scan en ligne avec Bitdefender et kaspersky removal tools qui m'a permis d'en supprimer deux nouveaux non détectés par Antivir. Comodo et antivir sont bien configurés selon les tutoriels consultés. J'ai également procédé à une purge de la restauration système puisque Game/Casino.gen se trouvait dans le système information volume. J'ajoute que le scan de secunia.com m'indique que tous les logiciels bénéficient de la dernière version et que le test de sécurité de zebulon.fr me signale que mon ordinateur est invisible et tous les ports sensibles masqués ou fermés.

Pour un problème identique qui a été résolu, j'avais particulièrement apprécié l'efficacité d'un de vos contributeurs au mois de juillet
Encore merci au contributeur qui voudra bien me consacrer le temps nécessaire et être indulgent pour le novice que je suis.

<config Windows XP Pack SP3/ Firefox 3.6.12</config>

gen-hackman · Answer

bonjour il est possible de lire le rapport d'antivir relatant ces infections ?

Canou · Answer

Bonjour, 
Merci de cette réponse rapide. Je joins tout de suite le rapport demandé. je l'ai enregistré dans mes documents et il est assez long. Comment puis-je le faire parvenir, le copier/collé ne marchant pas?

gen-hackman · Answer

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/  

&#9654 Clique sur Parcourir et cherche le fichier rapport.txt  

&#9654 Clique sur Ouvrir.  

&#9654 Clique sur "Cliquez ici pour déposer le fichier".  

Un lien de cette forme :  

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt  

est ajouté dans la page.  

&#9654 Copie ce lien dans ta réponse.  
¤¤¤¤¤¤?G3?-?@¢??@?(TM)©®?¤¤¤¤¤&#164

Canou · Answer

http://www.cijoint.fr/cjlink.php?file=cj201011/cijBuwHrlA.txt
J'espère que la manoeuvre a bien marché.

gen-hackman · Answer

▶ Télécharge Dr Web CureIt sur ton Bureau :

▶ redemarre en mode sans échec

▶- Double clique (clic droit "en tant qu'admin" sous Vista) <drweb-cureit.exe> et ensuite clique sur <Analyse>;

▶- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.

Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".

▶- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
▶- De retour à la fenêtre principale : clique pour activer <Analyse complète>

selectionne tous les disques

▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
▶- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv

▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses

ensuite :

tu m'envoies l'archive comme ceci :

clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

▶- Ferme Dr.Web Cureit
▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).

Canou · Answer

OK bien reçu. J'exécute tes consignes très claires et te fais parvenir le rapport dès que j'ai terminé.

gen-hackman · Answer

ok :) ensuite on mettra Java à jour

Canou · Answer

Impossible de redémarrer en mode sans échec. pourtant, j'ai bien appuyé sur la touche F8 dès le redémarrage. La page proposant mode sans échec s'affiche et je sélectionne mode sans échec, mais après, je n'ai qu'un écran noir avec un curseur qui clignote sans m'ouvrir quoi que ce soit. Le bouton d'allumage de l'unité centrale ne répondant pas non plus à ma demande, j'ai même dû débrancher la prise et la rebrancher pour à nouveau pouvoir me servir de l'ordinateur.
Ai-je fait une mauvaise manip?

Quant à Java, je dispose de la dernière mise à jour 6.0.22
Merci de tes éclaircissements pour pouvoir faire l'analyse avec Dr Web Curelt.

gen-hackman · Answer

ok fais-le en mode normal

Canou · Answer

Bien reçu. Dès que je suis prêt je t'adresse le rapport.

Canou · Answer

Analyse rapide avec Dr Web Currelt terminée. Aucun virus détecté. Du coup je n'ai pas poursuivi les autres consignes de cliquer sur puis . Ai-je bien fait?

canou · Answer

Hello, y-a-t-il encore un médecin dans la salle? Est-ce que le silence depuis deux jours signifie que mon problème est considéré comme traité, auquel cas , merci de me le confirmer? Sans doute des demandes sont traitées comme plus urgentes et vitales pour les internautes concernés.
 Depuis, j'ai toujours TR/Dropper.gen qui est signalé par antivir dans le fichier Windows installer alors qu'il a été mis en quarantaine à plusieurs reprises.

J'ai vérifié que Java était bien mis à jour ainsi que flash player et adobe reader qui m'a proposé une mise à jour hier soir.
J'ai eu des problèmes de plantage avec obligation de passer par un démarrage sous dernière bonne configuration connue.

D'avance merci pour votre réponse

gen-hackman · Answer

bonjour non je souhaitais que tu fasses l analyse complete

Canou · Answer

Bjr Gen Hackmann, merci de ta réponse. Je procède à l'analyse complète et te poste le rapport.
Bonne continuation.

gen-hackman · Answer

ok zippé via cijoint comme indiqué stp :)

Canou · Answer

bonsoir,

Après plus de 6h de scan d'analyse complète , Dr Web rend enfin son verdict: aucun virus trouvé. Ce qui explique que je ne puisse joindre de rapport puisque l'accès à <enregistrer le rapport> après avoir cliquer sur le menu< fichier> était impossible.

Le mystère reste entier. Y-a-t-il une suite à envisager dans les investigations ou bien en reste-t-on là?

gen-hackman · Answer

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 Coche les 2 cases Lop et Purity

&#9654 Coche la case devant tous les utilisateurs

&#9654 règle age du fichier sur "60 jours"

&#9654 dans la moitié gauche , mets tout sur "tous"

ne modifie pas ceci : 

"fichiers créés" et "fichiers Modifiés" 

&#9654Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

Canou · Answer

http://www.cijoint.fr/cjlink.php?file=cj201011/cij7wayjPS.txt
http://www.cijoint.fr/cjlink.php?file=cj201011/cij1GOZ7On.txt
Ci-dessus les liens des rapports OTL et extra.txt
En espérant que je ne me suis pas trompé dans la manip.

gen-hackman · Answer

telecharge ceci :

http://sd-2.archive-host.com/membres/up/174761209440524377/FixLop.exe

lance-le jusqu'au menu puis choisis suppression puis poste le rapport

Canou · Answer

http://www.cijoint.fr/cjlink.php?file=cj201011/cijxX35Sm7.txt

Ci-dessus le rapport de Fixlop

gen-hackman · Answer

1/....


&#9654 Télécharge ici : Ad-remover sur ton bureau : 


&#9654 Déconnecte toi et ferme toutes applications en cours ! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

&#9654 sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut . 

&#9654 clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
 
&#9654 Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

&#9654 Laisse travailler l'outil et ne touche à rien ... 

&#9654 Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

&#9654 Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.     

========================

2/......

refais un scan OTL

Canou · Answer

Impossible d'ouvrir AD Remover après téléchargement sur le bureau car stoppé par Comodo comme logiciel malicieux avec Win32 Trojan. J'ai nettoyé comme demandé.

Ai-je bien fait et dois-je retenter l'opération?

gen-hackman · Answer

oui coupe ttoutes tes protections pour l utilisations de tous les outils de desinfection

Canou · Answer

http://www.cijoint.fr/cjlink.php?file=cj201011/cijxded9a4.txt

Ci-dessus rapport OTL N°2
Je te joins aussi immédiatement le rapport AD REmover

Canou · Answer

http://www.cijoint.fr/cjlink.php?file=cj201011/cijfBqWNid.txt

Ci-dessus le rapport AD Remover

gen-hackman · Answer

non c'est apres ad-remover/nettoyage que je revoulais un scan otl :)

Canou · Answer

Je l'ai bien fait après le scan AD remover mais ne l'ai pas envoyé dans l'ordre.
Merci de ta compréhension pour cet envoi un peu désordonné.

gen-hackman · Answer

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!! (car l'outil est detecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

&#9654 Télécharge ici :List_Kill'em

 et enregistre le sur ton bureau 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

&#9830 Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

Il commencera par telecharger et installer ses mises à jour , puis te donnera son menu

choisis l'option Search

&#9654 laisse travailler l'outil

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

&#9654 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/ 

&#9654 Clique sur Parcourir et cherche le fichier C:\List'em.txt 

&#9654 Clique sur Ouvrir. 

&#9654 Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt 

est ajouté dans la page. 

&#9654 Copie ce lien dans ta réponse. 

&#9654 Fais de même avec more.txt qui se trouve sur ton bureau

Canou · Answer

http://www.cijoint.fr/cjlink.php?file=cj201011/cijoYWIpGk.txt


Ci-dessus le rapport List'em.txt
Puis-je refermer la fenêtre du scan où est marqué "completed" et en desous C:profram files... avec un curseur qui clignote signifiant peut-être que le scan n'est pas terminé?

Canou · Answer

J'ai compris. Je n'avais pas vu le "More txt" sur le bureau et te le joins tout de suite:http://www.cijoint.fr/cjlink.php?file=cj201011/cijuEVWg3n.txt

Canou · Answer

Dans le fichier 'C:\Documents and Settings\pierre\Mes documents\Téléchargements\AdbeRdr940_en_US.exe'
un virus ou un programme indésirable 'TR/Crypt.ZPACK.Gen2' [trojan] a été détecté.
Action exécutée : Refuser l'accès
Dernière alerte à 02h10 d'antivir. Qu'en penser? Etait-ce lorsque j'essayais vainement de télécharger AD Remover? Ca coïncide en tout cas.

gen-hackman · Answer

supprime le fichier

Canou · Answer

Dans le fichier 'C:\RECYCLER\S-1-5-21-1972006224-2439395928-691277395-1006\Dc1.exe'
un virus ou un programme indésirable 'TR/Crypt.ZPACK.Gen2' [trojan] a été détecté.
Action exécutée : Autoriser l'accès

J'ai supprimé le fichier demandé plus haut mais n'ai pas vui l'alerte d'antivir pour celui-là. je supprime aussi?

gen-hackman · Answer

oui c'est le fichier que tu viens de supprimer qui est dans la corbeille

Canou · Answer

OK je l'avais fait aussitôt que j'avais compris à quoi correspondait Recycler. Merci d'avoir bien voulu me répondre malgré la naïveté de la question.
J'ai oublié de te poster le rapport OTL Extra du 2ème scan. En as-tu besoin?
Je te le joins au cas où:http://www.cijoint.fr/cjlink.php?file=cj201011/cijkqQIjRq.txt

ENCORE MERCI DE TA DISPONIBILIT2 ET DE TA PATIENCE;

gen-hackman · Answer

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

&#9654 Relance List_Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

&#9654 choisis l'Option Clean

&#9654&#9654&#9654 Ne clique qu'une seule fois sur le bouton !!

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

&#9654 colle le contenu dans ta reponse

Canou · Answer

Voilà le rapport demandé de Kill'em:http://www.cijoint.fr/cjlink.php?file=cj201011/cijMJihsmB.txt

Canou · Answer

Gen-Hackman, si tu n'y vois pas d'inconvénients, j'ai les yeux qui se ferment tous seuls et je vais aller dormir. J'aurai plaisir à reprendre la suite de nos échanges demain ou plutôt tout à l'heure si, bien sûr, tu es disponible. Je verrai bien. En tout cas, encore un grand merci pour ton aide précieuse et le temps que tu as bien voulu me consacrer, surtout que je ne suis pas le seul à te solliciter. A tout à l'heure, donc et bonne nuit à toi.

canou · Answer

Bjr, 

Décidément, elles ont la peau dure ces bestioles:Dans le fichier 'C:\WINDOWS\Installer\{9017040C-6000-11D3-8CFE-0150048383C9}\misc.exe'
un virus ou un programme indésirable 'TR/Dropper.Gen' [trojan] a été détecté.
Action exécutée : Refuser l'accès. Rapport de ce matin à 9h42

gen-hackman · Answer

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\ __________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ===================================================== ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur Telecharge ici : Combofix Avant d'utiliser ComboFix : Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement : ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau ▶ Lance le Une fenêtre apparait : clique sur "Disable" ▶ Fais redémarrer l'ordinateur si l'outil te le demande Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" _________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° si tu as XP => double clique si tu as Vista ou windows 7 => clic droit "executer en tant que...." sur combofix renommé ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

canou · Answer

Bonjour, 

Depuis plus d'une heure, alors que j'ai bien respecté tes consignes et ouvert Combofix, la fenêtre s'affiche effectivement mais reste à l'information "tentative de création d'un nouveau point de restauration" sans avancement au bout d'une heure. J'ai donc fermé la fenêtre et réexécuté combofix en désactivant comme précédemment les pare-feu et antivirus installés. Sans plus de succès ce qui m'a décidé à refermer cette fenêtre, et là, souci!! J'ai dû réallumer mon pc à l'arrache.

Que pense-tu de tout celà?

gen-hackman · Answer

fais une tentative en mode sans echec avec prise en charge reseau

Canou · Answer

http://www.cijoint.fr/cjlink.php?file=cj201011/cijnYR1ylA.txt

Le mode sans échec avec prise en charge réseau a fonctionné.
Rapport combofix ci-dessus. A noter que j'avais oublié de désactiver antivir avant passage en mode sans échec. Dois-je recommencer la manoeuvre?Dois-je aussi quitter le mode sans échec?

gen-hackman · Answer

__________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ---------------------------------------------------------------------------- ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: File:: c:\windows\system32\dllcache\OLD*.tmp Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "HostManager"=- "nwiz"=- "HP Software Update"=- "RTHDCPL"=- "QuickTime Task"=- "Adobe Reader Speed Launcher"=- [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoSaveSetting"=- Driver:: MDMXSDK PXHELP20 ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

canou · Answer

http://www.cijoint.fr/cjlink.php?file=cj201011/cijBYzSC6I.txt

Ci-dessus rapport de combofix.

gen-hackman · Answer

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    *  * Colle directement le chemin des fichiers , un par un , dans l'espace "Parcourir" apres chaque analyse :

c:\windows\PMJ151LA.BIN



    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

canou · Answer

VT Community Sign in ? My account ? Sign out Signing out... 	Languages ?
VirusTotal's website has changed, we need new translations, do you feel like helping the community?
info@virustotal.com
Sign in to VT Community

Safety ratings and user comments (disinfection, in-the-wild locations, reverse engineering reports, etc.) on malware and URLs, free and easy.
email 	
password 	
	Keep me logged in
	
Sign in
Signing in, please wait...
	Login failed, please try again
Forgot your password? 	Create an account
Edit my profile
View my profile
Inbox
Virus Total 	
Virustotal is a service that analyzes suspicious files and URLs and facilitates the quick detection of viruses, worms, trojans, and all kinds of malware detected by antivirus engines. More information...
0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name:
PMJ151LA.BIN
Submission date:
2010-11-21 15:10:49 (UTC)
Current status:
queued queued analysing finished
Result:
0/ 42 (0.0%)
	
VT Community

not reviewed
 Safety score: - 
Compact
Print results
Antivirus 	Version 	Last Update 	Result
AhnLab-V3	2010.11.21.01	2010.11.21	-
AntiVir	7.10.14.55	2010.11.19	-
Antiy-AVL	2.0.3.7	2010.11.21	-
Avast	4.8.1351.0	2010.11.21	-
Avast5	5.0.594.0	2010.11.21	-
AVG	9.0.0.851	2010.11.21	-
BitDefender	7.2	2010.11.21	-
CAT-QuickHeal	11.00	2010.11.09	-
ClamAV	0.96.4.0	2010.11.21	-
Command	5.2.11.5	2010.11.21	-
Comodo	6796	2010.11.21	-
DrWeb	5.0.2.03300	2010.11.21	-
eSafe	7.0.17.0	2010.11.21	-
eTrust-Vet	36.1.7989	2010.11.20	-
F-Prot	4.6.2.117	2010.11.21	-
F-Secure	9.0.16160.0	2010.11.20	-
Fortinet	4.2.254.0	2010.11.20	-
GData	21	2010.11.21	-
Ikarus	T3.1.1.90.0	2010.11.21	-
Jiangmin	13.0.900	2010.11.20	-
K7AntiVirus	9.68.3041	2010.11.20	-
Kaspersky	7.0.0.125	2010.11.21	-
McAfee	5.400.0.1158	2010.11.21	-
McAfee-GW-Edition	2010.1C	2010.11.21	-
Microsoft	1.6402	2010.11.19	-
NOD32	5635	2010.11.20	-
Norman	6.06.10	2010.11.21	-
nProtect	2010-11-21.01	2010.11.21	-
Panda	10.0.2.7	2010.11.21	-
PCTools	7.0.3.5	2010.11.21	-
Prevx	3.0	2010.11.21	-
Rising	22.74.05.01	2010.11.21	-
Sophos	4.59.0	2010.11.21	-
SUPERAntiSpyware	4.40.0.1006	2010.11.20	-
Symantec	20101.2.0.161	2010.11.21	-
TheHacker	6.7.0.1.087	2010.11.20	-
TrendMicro	9.120.0.1004	2010.11.21	-
TrendMicro-HouseCall	9.120.0.1004	2010.11.21	-
VBA32	3.12.14.2	2010.11.19	-
VIPRE	7369	2010.11.21	-
ViRobot	2010.11.20.4158	2010.11.21	-
VirusBuster	13.6.51.0	2010.11.20	-
Additional information
Show all
MD5   : 715b8d5f504fe2c3d47f6bd76c183193
SHA1  : 59dfd705dc13a06c7f9c589822fc9974557a07fe
SHA256: 4246a9b33aaa2dc65aca8b457bee886136d819fc1ededf4dd12bc6a017b02e0b
ssdeep: 1536:yLLaltnR/PsWiJuET7ZoP6pZphdYruZQgsqAV3mwFvE/RDtV9UWPZCs2nPYIx8ss:yPUx4
/j9YI63mpeWVY852ccNI3
File size : 114688 bytes
First seen: 2009-05-08 20:24:06
Last seen : 2010-11-21 15:10:49
TrID:
Win64 Executable Generic (54.6%)
Win32 Executable MS Visual C++ (generic) (24.0%)
Windows Screen Saver (8.3%)
Win32 Executable Generic (5.4%)
Win32 Dynamic Link Library (generic) (4.8%)
sigcheck:
publisher....: Matsushita Electric Industrial Co. ,Ltd,
copyright....: Copyright (C) 2002 by Matsushita Electric Industrial Co. ,Ltd,
product......: Panasonic DVC Web Camera
description..: Panasonic DVC Web Camera
original name: PMJ151LA.BIN
internal name: PMJ151LA.BIN
file version.: 1, 0, 0, 0
comments.....:
signers......: -
signing date.: -
verified.....: Unsigned
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x3280
timedatestamp....: 0x3CB4E899 (Thu Apr 11 01:36:25 2002)
machinetype......: 0x14c (I386)

[[ 4 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0x1206E, 0x13000, 6.44, 532cf14b6bc3f7d2a5a0ca5f0ab26698
.rdata, 0x14000, 0x4478, 0x5000, 4.34, a0c446ba5db6387f0c8d3528c32cc12e
.data, 0x19000, 0x4DA4, 0x2000, 3.12, 62ffeb05005e0f66cacbdd0871c434a1
.rsrc, 0x1E000, 0x7C8, 0x1000, 1.83, 2f90b0f1c81b05221568b29fe5c9bfb3

[[ 7 import(s) ]]
SETUPAPI.dll: SetupDiOpenDevRegKey, SetupDiGetDeviceRegistryPropertyA, SetupDiGetClassDevsA, SetupDiEnumDeviceInterfaces, SetupDiGetDeviceInterfaceDetailA, SetupDiDestroyDeviceInfoList
KERNEL32.dll: RtlUnwind, HeapFree, HeapAlloc, GetCommandLineA, GetVersionExA, GetSystemTimeAsFileTime, GetACP, GetTimeFormatA, GetDateFormatA, RaiseException, HeapSize, HeapReAlloc, ExitProcess, LCMapStringA, LCMapStringW, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, IsBadWritePtr, GetStdHandle, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetStartupInfoA, GetStringTypeA, GetStringTypeW, GetTimeZoneInformation, VirtualProtect, GetSystemInfo, VirtualQuery, SetUnhandledExceptionFilter, IsBadReadPtr, IsBadCodePtr, GetLocaleInfoA, SetStdHandle, CompareStringA, CompareStringW, SetEnvironmentVariableA, FlushFileBuffers, SetFilePointer, WriteFile, GetOEMCP, GetCPInfo, GlobalFlags, GetProcessVersion, LoadLibraryA, FreeLibrary, lstrcatA, GlobalGetAtomNameA, lstrcmpiA, GlobalAddAtomA, GlobalFindAtomA, GlobalDeleteAtom, GetProcAddress, lstrcpyA, GetCurrentThreadId, OutputDebugStringA, GetVersion, TlsGetValue, LocalReAlloc, TlsSetValue, GlobalAlloc, GlobalReAlloc, GlobalLock, TlsFree, GlobalHandle, GlobalUnlock, GlobalFree, TlsAlloc, LocalAlloc, lstrcmpA, lstrcpynA, SetLastError, EnterCriticalSection, LeaveCriticalSection, DeleteCriticalSection, InitializeCriticalSection, LocalFree, MultiByteToWideChar, WideCharToMultiByte, lstrlenA, InterlockedDecrement, InterlockedIncrement, CreateEventA, WaitForSingleObject, SetEvent, ExpandEnvironmentStringsA, GetLastError, CreateProcessA, CloseHandle, GetModuleFileNameA, GetModuleHandleA
USER32.dll: GetSysColor, MapWindowPoints, PostMessageA, LoadIconA, SetWindowTextA, LoadCursorA, GetSysColorBrush, ReleaseDC, GetDC, GetClassNameA, PtInRect, ClientToScreen, PostQuitMessage, DestroyMenu, TabbedTextOutA, DrawTextA, GrayStringA, GetClientRect, CopyRect, SetFocus, GetTopWindow, GetCapture, WinHelpA, GetClassInfoA, RegisterClassA, GetMenu, GetMenuItemCount, GetSubMenu, GetMenuItemID, GetDlgItem, GetWindowTextA, GetDlgCtrlID, DefWindowProcA, DestroyWindow, CreateWindowExA, GetClassLongA, SetPropA, GetPropA, CallWindowProcA, RemovePropA, GetMessageTime, GetMessagePos, GetForegroundWindow, SetForegroundWindow, GetWindow, SetWindowLongA, SetWindowPos, RegisterWindowMessageA, IsIconic, GetWindowPlacement, GetWindowRect, GetSystemMetrics, GetMenuCheckMarkDimensions, LoadBitmapA, GetMenuState, ModifyMenuA, SetMenuItemBitmaps, CheckMenuItem, EnableMenuItem, GetFocus, GetNextDlgTabItem, DispatchMessageA, GetKeyState, CallNextHookEx, UnregisterDeviceNotification, AdjustWindowRectEx, RegisterDeviceNotificationA, PeekMessageA, SetWindowsHookExA, GetParent, GetLastActivePopup, IsWindowEnabled, GetWindowLongA, SendMessageA, MessageBoxA, EnableWindow, UnhookWindowsHookEx, LoadStringA, SystemParametersInfoA
GDI32.dll: SetViewportOrgEx, OffsetViewportOrgEx, SetViewportExtEx, ScaleViewportExtEx, SetWindowExtEx, ScaleWindowExtEx, SetMapMode, PtVisible, RectVisible, TextOutA, ExtTextOutA, Escape, GetStockObject, SelectObject, RestoreDC, SaveDC, DeleteDC, DeleteObject, GetDeviceCaps, GetObjectA, SetBkColor, SetTextColor, GetClipBox, CreateBitmap
WINSPOOL.DRV: DocumentPropertiesA, ClosePrinter, OpenPrinterA
ADVAPI32.dll: RegQueryValueExA, SetServiceStatus, RegisterServiceCtrlHandlerExA, RegCloseKey, OpenServiceA, ControlService, DeleteService, OpenSCManagerA, CreateServiceA, CloseServiceHandle, StartServiceCtrlDispatcherA
COMCTL32.dll: -

VT Community

0

    This file has never been reviewed by any VT Community member. Be the first one to comment on it! 

VirusTotal Team
Add your comment... Remember that when you write comments as an anonymous user they receive the lowest possible reputation. So if you have not signed in yet don't forget to do so. How to markup your comments?
You can add basic styles to your comments using the following accepted bbcode tags:

[b]text/b -- bold
[i]text/i -- italics
[u]text/u -- underline
[s]text/s -- strikethrough
[code]text/code -- preformatted text

You can also address comments to particular users using the "@" twitter-like mode. By prepending a "#" symbol to a word you can add custom tags to your comment, tags that can then be searched for.

Goodware
Malware
Spam attachment/link

P2P download
Propagating via IM
Network worm

Drive-by-download


Anonymous limit exceeded: anonymous users can only make one comment per file or URL, either sign in or register in order to continue making reviews on this item. Note that anonymous user discrimination is based on IP addresses, hence, it may be possible that another user behind your same proxy or NAT connection already made a review.
Preview comment Edit comment
Post comment
Posting comment...
Comment successfully posted




ATTENTION: VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.
VirusTotal © Hispasec Sistemas - Blog - Twitter - Contact: info@virustotal.com - Terms of Service & Privacy Policy

gen-hackman · Answer

redemarre le pc refais un scan OTL stp avant toute chose

canou · Answer

http://www.cijoint.fr/cjlink.php?file=cj201011/cijdaEVeBK.txt

Rapport OTL extras.txt

Suit rapport OTL

canou · Answer

http://www.cijoint.fr/cjlink.php?file=cj201011/cijAOT5mSv.txt

Comme annoncé rapport OTL

canou · Answer

Dans le fichier 'C:\Documents and Settings\pierre\Mes documents\Téléchargements\avira_antivir_personal_fr.exe'
un virus ou un programme indésirable 'TR/Dropper.Gen' [trojan] a été détecté.
Action exécutée : Refuser l'accès
Alerte antivir de 16h56 et 17h00
Apparemment toujours présente cette sale bestiole. Dois-je supprimer le fichier?

gen-hackman · Answer

&#9654 Télécharge ici : USBFIX sur ton bureau 

branche tous tes periphériques sans les ouvrir

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :

&#9654 choisi l option Suppression

&#9654 UsbFix scannera ton pc , laisse travailler l outil.

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

&#9654 Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

canou · Answer

http://www.cijoint.fr/cjlink.php?file=cj201011/cijutGNK6t.txt

Ci-dessus rapport USBFIX

gen-hackman · Answer

-> &#9654 Scan BitDefender

&#9654 Fais une analyse antivirus en ligne sur BitDefender on line avec Internet Explorer

    &#9654  Clique en bas sur Analyse gratuite
    &#9654  Accepte la licence et laisse-le installer l'Active x..
    &#9654  Laisse-toi guider. Colle son rapport ici.


Aide

canou · Answer

Je n'ai pas su coller le rapport du scan de bitdefender en ligne. Il n'y avait aucun fichier contaminé et n'a détecté aucun virus J'avais fait le même scan il y a une semaine et il m'avait trouvé deux virus autres que ceux en question aujourd'hui et les avait supprimés.
Je reconnais que je suis un peu désappointé après toutes ces investigations qui s'avèrent infructueuses. J'ai vérifié qu'il ne s'agissait pas de faux positifs et antivir les détecte régulièrement. Qu'est-ce qui est en question? Le registre, les navigateurs, le système?

Qu'en pense le spécialiste? Par ailleurs, s'affiche maintenant au démarrage une fenêtre me proposant d'installer Wiew point media. Je ne sais pas ce que c'est et refuse systématiquement. Mais je ne sais comment me débarrasser de cette fenêtre insistante.

gen-hackman · Answer

fais un scan complet avec antivir et poste le rapport

canou · Answer

OK je reprends juste l'ordi et vais devoir le lâcher sans tarder, obligations professionnelles obligent.

Les alertes d'antivir me donnent l'impression que ce maudit trojan me nargue en apparaissant là où il n'est pas attendu alors qu'on croyait avoir fait le nécessaire pour l'éradiquer. Va-t-on en voir la fin? Autre symptome d'infection ou pur hasard: j'avais oublié de te signaler que si je laisse l'ordi allumé sans m'en servir pendant un moment, le navigateur AOL s'ouvre sans même que je le déclenche. 
L'icône de Realtek a également disparu de la barre des tâches.

Trêve de discours. Je lance le scan d'antivir et te le poste dès que possible.
Encore un grand merci pour ta disponibilité. J'ai beaucoup de respect pour les gens comme toi qui anonymement aident leurs semblables sans rien attendre  que la satisfaction qu'ils en tirent.

gen-hackman · Answer

battre un nouveau defi est le remerciement de la peine qu'on se donne :)

canou · Answer

je redécouvre l'ordi ce matin, complètement vérolé, verrouillé par je ne sais qui, me demandant un mot de passe pour la première fois, que j'ai du contourner. Je ne l'ai pas éteint de la nuit pour raison de scan avec antivir.
J'ai par miracle pu avoir accès à mon navigateur Firefox Mozilla au bout de la 2ème tentative car AOL ne me connaît plus et est impossible à ouvrir, de même qu'Internet explorer.

J'avais enregistré le rapport d'antivir sur le bureau et ne le retrouve pas. Un tas de fenêtres se sont ouvertes pour me signaler des erreurs auxquelles je ne comprends rien et que je n'ai pas eu le temps de noter car elles disparaissent aussitôt.

Ce qui est curieux, c'est que le rapport ne fait mention d'aucune infection.
Si jamais je ne répondais pas à tes post, c'est que je n'aurais plus accès à quoi que ce soit, et là, je n'aurais d'autres recours que l'amener chez le "mécano".

Canou · Answer

en mode sans échec avec prise en charge réseau, j'arrive à me connecter à internet explorer, mais plus avec firefix mozilla, ni aol qui est mon navigateur par défaut. Je sais il n'est pas stable ni le meilleur mais j'y ai ma messagerie , mon adresse mail, mes favoris , même si j'en ai transféré sous mozillza et internet explorer.
Antivir a disparu lorsque j'ai voulu le réactiver: message d'erreur; le chemin d'accès antivir n'existe plus. Je me souviens que tr/dropper.gen était signalé à l'ouverture de ce chemin comme je te le signalais dans mon post du 21/11 à17h06.
Est-ce que le mécano reste d'actualité? Un reformatage? je ne sais comment procéder, n'ayant jamais eu à faire cette manip. J'ai le disque de réinstallation de Windows XP Familial. A noter que je n'ai jamais effectué de sauvegarde. ERREUR!!!
Une analyse avec Malwarebytes ne signale aucun fichier infecté.
Le mystère continue. Je ne t'ai pas dit que l'analyse en ligne avec bitdefender s'était faite, mais avec une base de données virale qui n'avait pu se faire à 100%.Je ne serai pas trop disponible aujourd'hui et ne t'étonne pas si je ne réponds pas immédiatement aux postsque tu auras la gentillesse de m'adresser.
Un nouveau défi qui, comme tu le dis, apportera beaucoup de satisfaction s'il peut être relevé. A vaincre sans péril, on triomphe sans gloire.

Canou · Answer

http://www.cijoint.fr/cjlink.php?file=cj201011/cijWljotNk.txt
Après redémarrage en mode normal, j'ai pu retrouver antivir et enregistrer l'évènement et non le rapport complet d'antivir.
J'ai pu avoir, mais pour combien de temps, l'accès à Firefox.
A suivre.

canou · Answer

j'ai pu à l'instant remettre la main sur le rapport intégral d'antivir effectué hier soir: je n'ai pu le transférer par cijoint.fr

Avira AntiVir Personal
Date de création du fichier de rapport : dimanche 21 novembre 2010  22:35

La recherche porte sur 3070854 souches de virus.

Le programme fonctionne en version intégrale illimitée.
Les services en ligne sont disponibles.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows XP
Version de Windows      : (Service Pack 3)  [5.1.2600]
Mode Boot               : Démarré normalement
Identifiant             : SYSTEM
Nom de l'ordinateur     : PIERRECANOU

Informations de version :
BUILD.DAT               : 10.0.0.99      31821 Bytes  27/08/2010 08:04:00
AVSCAN.EXE              : 10.0.3.1      434344 Bytes  17/08/2010 12:38:56
AVSCAN.DLL              : 10.0.3.0       56168 Bytes  17/08/2010 12:39:10
LUKE.DLL                : 10.0.2.3      104296 Bytes  17/08/2010 12:39:03
LUKERES.DLL             : 10.0.0.0       13672 Bytes  17/08/2010 12:39:11
VBASE000.VDF            : 7.10.0.0    19875328 Bytes  06/11/2009 09:05:36
VBASE001.VDF            : 7.10.1.0     1372672 Bytes  19/11/2009 19:27:49
VBASE002.VDF            : 7.10.3.1     3143680 Bytes  20/01/2010 17:37:42
VBASE003.VDF            : 7.10.3.75     996864 Bytes  26/01/2010 16:37:42
VBASE004.VDF            : 7.10.4.203   1579008 Bytes  05/03/2010 11:29:03
VBASE005.VDF            : 7.10.6.82    2494464 Bytes  15/04/2010 12:39:06
VBASE006.VDF            : 7.10.7.218   2294784 Bytes  02/06/2010 12:39:07
VBASE007.VDF            : 7.10.9.165   4840960 Bytes  23/07/2010 12:39:09
VBASE008.VDF            : 7.10.11.133  3454464 Bytes  13/09/2010 13:57:24
VBASE009.VDF            : 7.10.13.80   2265600 Bytes  02/11/2010 13:57:35
VBASE010.VDF            : 7.10.13.81      2048 Bytes  02/11/2010 13:57:35
VBASE011.VDF            : 7.10.13.82      2048 Bytes  02/11/2010 13:57:35
VBASE012.VDF            : 7.10.13.83      2048 Bytes  02/11/2010 13:57:35
VBASE013.VDF            : 7.10.13.116   147968 Bytes  04/11/2010 13:57:36
VBASE014.VDF            : 7.10.13.147   146944 Bytes  07/11/2010 13:57:37
VBASE015.VDF            : 7.10.13.180   123904 Bytes  09/11/2010 13:57:37
VBASE016.VDF            : 7.10.13.211   122368 Bytes  11/11/2010 13:57:38
VBASE017.VDF            : 7.10.13.243   147456 Bytes  15/11/2010 21:54:07
VBASE018.VDF            : 7.10.14.15    142848 Bytes  17/11/2010 21:34:38
VBASE019.VDF            : 7.10.14.41    134144 Bytes  19/11/2010 21:23:15
VBASE020.VDF            : 7.10.14.42      2048 Bytes  19/11/2010 21:23:15
VBASE021.VDF            : 7.10.14.43      2048 Bytes  19/11/2010 21:23:15
VBASE022.VDF            : 7.10.14.44      2048 Bytes  19/11/2010 21:23:15
VBASE023.VDF            : 7.10.14.45      2048 Bytes  19/11/2010 21:23:15
VBASE024.VDF            : 7.10.14.46      2048 Bytes  19/11/2010 21:23:15
VBASE025.VDF            : 7.10.14.47      2048 Bytes  19/11/2010 21:23:16
VBASE026.VDF            : 7.10.14.48      2048 Bytes  19/11/2010 21:23:16
VBASE027.VDF            : 7.10.14.49      2048 Bytes  19/11/2010 21:23:16
VBASE028.VDF            : 7.10.14.50      2048 Bytes  19/11/2010 21:23:16
VBASE029.VDF            : 7.10.14.51      2048 Bytes  19/11/2010 21:23:16
VBASE030.VDF            : 7.10.14.52      2048 Bytes  19/11/2010 21:23:16
VBASE031.VDF            : 7.10.14.55     23040 Bytes  19/11/2010 21:23:16
Version du moteur       : 8.2.4.98  
AEVDF.DLL               : 8.1.2.1       106868 Bytes  17/08/2010 12:38:53
AESCRIPT.DLL            : 8.1.3.46     1364347 Bytes  13/11/2010 13:57:54
AESCN.DLL               : 8.1.6.1       127347 Bytes  17/08/2010 12:38:52
AESBX.DLL               : 8.1.3.1       254324 Bytes  17/08/2010 12:38:52
AERDL.DLL               : 8.1.9.2       635252 Bytes  13/11/2010 13:57:52
AEPACK.DLL              : 8.2.3.11      471416 Bytes  13/11/2010 13:57:50
AEOFFICE.DLL            : 8.1.1.8       201081 Bytes  17/08/2010 12:38:52
AEHEUR.DLL              : 8.1.2.41     3043703 Bytes  13/11/2010 13:57:49
AEHELP.DLL              : 8.1.14.0      246134 Bytes  13/11/2010 13:57:43
AEGEN.DLL               : 8.1.3.24      401781 Bytes  13/11/2010 13:57:42
AEEMU.DLL               : 8.1.2.0       393588 Bytes  17/08/2010 12:38:45
AECORE.DLL              : 8.1.17.0      196982 Bytes  13/11/2010 13:57:41
AEBB.DLL                : 8.1.1.0        53618 Bytes  17/08/2010 12:38:45
AVWINLL.DLL             : 10.0.0.0       19304 Bytes  17/08/2010 12:38:56
AVPREF.DLL              : 10.0.0.0       44904 Bytes  17/08/2010 12:38:55
AVREP.DLL               : 10.0.0.8       62209 Bytes  17/06/2010 14:27:52
AVREG.DLL               : 10.0.3.2       53096 Bytes  17/08/2010 12:38:56
AVSCPLR.DLL             : 10.0.3.1       83816 Bytes  17/08/2010 12:38:56
AVARKT.DLL              : 10.0.0.14     227176 Bytes  17/08/2010 12:38:54
AVEVTLOG.DLL            : 10.0.0.8      203112 Bytes  17/08/2010 12:38:55
SQLITE3.DLL             : 3.6.19.0      355688 Bytes  17/06/2010 14:28:02
AVSMTP.DLL              : 10.0.0.17      63848 Bytes  17/08/2010 12:38:56
NETNT.DLL               : 10.0.0.0       11624 Bytes  17/06/2010 14:28:01
RCIMAGE.DLL             : 10.0.0.26    2550120 Bytes  11/02/2010 00:23:03
RCTEXT.DLL              : 10.0.58.0      99688 Bytes  17/08/2010 12:39:11

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, 
Recherche dans les programmes actifs..........: marche
Programmes en cours étendus...................: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Début de la recherche : dimanche 21 novembre 2010  22:35

La recherche d'objets cachés commence.
HKEY_USERS\S-1-5-21-1972006224-2439395928-691277395-1006\Software\Microsoft\Protected Storage System Provider\S-1-5-21-1972006224-2439395928-691277395-1006\data
    [REMARQUE]  L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\NtmsSvc\Config\Standalone\drivelist
    [REMARQUE]  L'entrée d'enregistrement n'est pas visible.
c:\program files\aol 9.0 vra\waol.exe
c:\Program Files\AOL 9.0 VRa\waol.exe
    [REMARQUE]  Le processus n'est pas visible.

La recherche sur les processus démarrés commence :
Processus de recherche 'ss3dfo.scr' - '22' module(s) sont contrôlés
Processus de recherche 'dllhost.exe' - '49' module(s) sont contrôlés
Processus de recherche 'vssvc.exe' - '52' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '73' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '66' module(s) sont contrôlés
Processus de recherche 'shellmon.exe' - '23' module(s) sont contrôlés
Processus de recherche 'waol.exe' - '140' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '35' module(s) sont contrôlés
Processus de recherche 'aolsoftware.exe' - '76' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '55' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '25' module(s) sont contrôlés
Processus de recherche 'igfxsrvc.exe' - '25' module(s) sont contrôlés
Processus de recherche 'igfxpers.exe' - '25' module(s) sont contrôlés
Processus de recherche 'hkcmd.exe' - '28' module(s) sont contrôlés
Processus de recherche 'cfp.exe' - '51' module(s) sont contrôlés
Processus de recherche 'wanmpsvc.exe' - '28' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '42' module(s) sont contrôlés
Processus de recherche 'snmp.exe' - '47' module(s) sont contrôlés
Processus de recherche 'locator.exe' - '32' module(s) sont contrôlés
Processus de recherche 'HPZipm12.exe' - '22' module(s) sont contrôlés
Processus de recherche 'PMJ151LA.BIN' - '22' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '86' module(s) sont contrôlés
Processus de recherche 'avshadow.exe' - '29' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '38' module(s) sont contrôlés
Processus de recherche 'dllhost.exe' - '53' module(s) sont contrôlés
Processus de recherche 'CDAC11BA.EXE' - '15' module(s) sont contrôlés
Processus de recherche 'AOLacsd.exe' - '65' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '62' module(s) sont contrôlés
Processus de recherche 'Explorer.EXE' - '97' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '48' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '67' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '35' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '36' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '164' module(s) sont contrôlés
Processus de recherche 'cmdagent.exe' - '79' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '42' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '55' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '55' module(s) sont contrôlés
Processus de recherche 'services.exe' - '31' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '74' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '14' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '2' module(s) sont contrôlés

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD1
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD2
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD3
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD4
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD5
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '1795' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <395628>


Fin de la recherche : lundi 22 novembre 2010  01:00
Temps nécessaire:  2:24:59 Heure(s)

La recherche a été effectuée intégralement

  14752 Les répertoires ont été contrôlés
 538913 Des fichiers ont été contrôlés
      0 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      0 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      0 Impossible de scanner des fichiers
 538913 Fichiers non infectés
  17966 Les archives ont été contrôlées
      0 Avertissements
      0 Consignes
 811316 Des objets ont été contrôlés lors du Rootkitscan
      3 Des objets cachés ont été trouvés

gen-hackman · Answer

envoie-moi un fichier detecté infecté que tu zipperas via cijoint.fr

canou · Answer

C:\Documents and Settings\pierre\Mes documents\Téléchargements\avira_antivir_personal_fr.exe' C'est le fichier auquel je pense, mais comment le zipper? Si je fais un clic droit dessus, un tas d'options sont proposées mais je ne sais laquelle choisir. J'ai essayé "compresser et envoyer par mail" mais ce n'est pas ce qu'il faut. Merci d'indiquer la marche à suivre.

gen-hackman · Answer

non supprime-le il est trop gros

canou · Answer

OK; dommage, j'avais trouvé la solution et même l'avais compressé et m'apprêtais à te l'envoyer. Les autres fichiers concernaient surtout Windows installer mais je ne sais pas retrouver. J'essaie une recherche par évènements dans antivir et t'envoie un nouveau post dès que je suis prêt. Merci

gen-hackman · Answer

ok essaie de trouver un truc qui fasse moins de 8 Mo sinon il passera pas via cijoint....à moins que tu aies un hebergeur gratuit qui prend plus de poids genre archive host ou.....

canou · Answer

Le fichier 'C:\Documents and Settings\pierre\Application Data\Sun\Java\Deployment\cache\6.0\27\3009161b-5272337c'
 contenait un virus ou un programme indésirable 'JAVA/Agent.2212' [virus].
Action(s) exécutée(s) :
Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004.
Impossible de trouver le fichier source.
Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
Impossible de déplacer le fichier dans le répertoire de quarantaine !
Le fichier n'existe pas !
Le fichier a été repéré pour une suppression après un redémarrage.
je ne sais pas si celà peut t'aider.

Canou · Answer

les fichiers concernés listés dans mon premier envoi par cijoint.fr présents dans les évènements d'antivir ont été placés en quarantaine et depuis je l'ai vidée.
Les fichiers me sont donc inaccessibles. Hormis ceux présents dans windows installer mais que je ne vois pas comment récupérer, malgré ma recherche en ce sens.

A signaler qu'aujourd'hui, même si je n'ai pas été beaucoup sur internet, aucune alerte depuis ce matin. La navigation a l'air de se dérouler plutôt normalement.
Pourvu que çà dure!!!

Si jamais j'en ai une nouvelle, je sélectionne le fichier comme tu me le demandes pour un envoi par le lien cijoint.fr

Canoi · Answer

A peine j'avais terminé de t'écrire le précédent post qu'une nouvelle alerte d'antivir m'informait de la détection de TR/Dropper.Gen dans windows installer.
Est-ce que c'est lié au fait qu'une fenêtre s'est ouverte sur le bureau me demandant d'installer Flash Player et que je l'ai fait, même si j'étais un peu surpris, pensant qu'il avait été installé depuis longtemps avec les mises à jour?
Il figure bien dans le panneau de configuration mais je réalise que les active 10X.ocx ont été supprimés avec un fichier contaminé par Java agent 2212.

gen-hackman · Answer

re ,

ok :)

canou · Answer

dois-je désinstaller flash player, le réinstaller avec le plugin et l'activeX?
Faut-il nettoyer windows installer et comment? Les outils dont nous nous sommes servis pour la désinfection sont-ils à réutiliser?
Beaucoup de questions, je reconnais, mais tout cela me laisse perplexe. Cette bestiole est particulièrement résistante

gen-hackman · Answer

dans la configuration d'antivir , les "heuristiques" sont tous sur "moyen" ?

Canou · Answer

vérification faite, oui. L'heuristique Guard comme celui du scanner

gen-hackman · Answer

vide ton dossier telechargements

tu l'as telechargé ou ce qu il y a dedans ?

Canou · Answer

Il se trouve dans mes documents et contient les principaux logiciels et mises à jour installés ( flash player...) Lorsque je télécharge un nouveau logiciel, il me le met automatiquement là, sauf avec mozilla firefox où je peux faire l'installation à partir de la fenêtre de téléchargement. 
 Il y a eu une nouvelle alerte d'antivir lorsque j'ai ouvert le dossier téléchargement. Je le supprime et te tiens au courant.
Merci

gen-hackman · Answer

supprime tout ce qu'il y a dans ce dossier ca te sert à rien..

canou · Answer

lorsque je tente de supprimer le dossier téléchargement, une fenêtre d'erreur s'ouvre me disant: "impossible de supprimer cette dossier. Une autre personne ou un autre programme utilise actuellement cette ressource"
Alors que j'ai fermé toutes les applications et programmes, sauf antivir, comodo.

gen-hackman · Answer

non pas le dossier , ce qu'il y dedans lol

canou · Answer

OK. Voilà qui est fait. Il y avait 97 éléments. J'ai également vidé la corbeille.

gen-hackman · Answer

ok attendons jusqu'à demain et si tu n'as plus de detection nous finaliserons

canou · Answer

Encore merci. Je te tiens au courant. 
D'ici là, bonne nuit

gen-hackman · Answer

oui ca fera du bien :)

Canou · Answer

Ce matin , après avoir personnalisé  le niveau de sécurité d'internet explorer afin d'activer l'installation d'activeX nécessaire à l'accès à up date microsoft, nouvelle alerte d'antivir avec ce fameux TR:/dropper.gen dans windows installer. Jusque là, la navigation s'était déroulée sans soucis.
Il est coriace!!! 

Dans l'attente de tes instructions, je te remercie d'avance du temps que tu voudras bien me consacrer.

canou · Answer

Redétection de la fameus bestiole par antivir, à l'instant, coïncidant, mais ce n'est pas la première fois, avec l'ouverture du panneau de configuration où flash player 10 active X est en surbrillance.

Est-ce une info utile?

A plus tard.

gen-hackman · Answer

bonjour essaie cette solution à graver :

http://consultaide.e-monsite.com/rubrique,cd-live-dr-web-cureit-super,245887.html

canou · Answer

Merci de tes informations. J'ai bien chargé Dr Web iso et à la fin du téléchargement, une fenêtre iso buster2.8 s'ouvre avec l'arborescence des différentes fonctions du cd, mais je ne vois pas comment le graver. Mon graveur de CD ne lance pas l'ouverture du CD vierge que j'y ai mis. Ne serait-ce pas dû à deffroger qui désactive les lecteurs et graveurs? Comme j'ai vidé le dossier téléchargement, le raccouci restant sur le bureau ne suffit pas à réactiver deffroger si le problème vient de là.

Merci de m'éclairer sur la conduite à tenir.

gen-hackman · Answer

retelecharge-le

canou · Answer

J'ai ré exécuté defogger et cliqué sur la fenêtre re-enable dès qu'elle est apparue, mais le lecteur de cd dvd ne se lance pas plus.

Je n'ai peut-être pas tout compris à tes indications.

canou · Answer

J'ai essayé avec un CD audio déjà gravé et le graveur se lance. J'ai ouvert NERO et fait copie de cd puis ajouter, mais le fichier dans lequel se trouve isobuster ne peut être trouvé pour cause de suppression préalable due à l'infection.

Je ne vois pas comment m'en sortir.

canou · Answer

J'oubliais que windows media player n'a pu lire le cd déjà gravé car le mélangeur audio-wave de noyau microsoft est un périphérique qui pose problème.
La gravur reste-t-elle possible malgré cà?
Décidément, je les accumule. 
Je commence sérieusement à perdre espoir de voir un jour l'infection résolue.

gen-hackman · Answer

La gravur reste-t-elle possible malgré cà? 

oui

canou · Answer

OK, mais alors comment procéder, à partir de Néro, pour transférer le cd contenu dans iso buster sur le cd vierge?
Autant de questions très naïves, mais dont je n'ai pas la réponse, car j'ai beau essayé toutes les combinaisons à partir de l'image du cd dr web et de l'arborescence de toutes les sessions qu'il contient, les choix proposés me laissent pour le moins perplexe.

gen-hackman · Answer

je ne sais pas utiliser isobuster je l ai jamais utilisé

perso j utilise Isorecorder , il met des commandes dans le menu contextuel du clic droit 

soit :

fabriquer un fichier ISO d'un dossier
copier un fichier iso sur cd

canou · Answer

OUF! bien que très gauche, j'ai enfin réussi à graver dr web live cd.

Je poursuis la manoeuvre et te tiens au courant dès que dr web aura fait son travail.

Encore merci et pardonne-moi de t'envahir de posts qui s'avèrent inutiles et encombrants.
A plus tard .
Je crois avoir compris que cette désinfection par le cd live sera longue. aussi je te souhaite une nuit réparatrice de toute l'énergie que tu déploies à aider tes contemporains et à demain.

gen-hackman · Answer

ok super ! :)

à demain

canou · Answer

Encore moi!!! j'ai parlé trop vite. Même si j'ai gravé le cd dr web live, le pc ne démarre pas avec ce cd installé dans le lecteur.
Est-ce qu'il y a une question de paramétrage du bios pour pouvoir démarrer avec un cd. Est-ce que le fait d'avoir utilisé un CD-R a une incidence?

Décidément, les choses ne sont pas aussi simples qu'on aurait pu les espérer.
Je sais: la victoire n'en est que plus glorieuse.

Canou · Answer

https://forum.pcastuces.com/analyse_antivirus_par_un_live_cd-f31s36.htm

C'est le tutoriel que j'ai trouvé pour m'aider à résoudre ma question.

Il est très clair, mais je n'ai pas l'option "démarrer avec un CD/DVD" après avoir redémarré le PC. J'ai un peu peur d'aller dans le bios et d'y apporter des modifications dont je ne sais pas si elles seront réversibles. 

Une question en entraîne une autre. C'est aussi comme cela qu'on apprend.

gen-hackman · Answer

oui tu peux faire les manips dans le bios pour mettre le cd en premier au bout

si tu as un souci , tu fais F9 , confirme , et ton bios sera reparamétré avec les réglages d'origine

Canou · Answer

http://www.cijoint.fr/cjlink.php?file=cj201011/cijkZWrayS.txt
Ci-dessus le lien pour le rapport de MalwareBytes qui a détecté un nouveau Trojan et l'a supprimé.

merci à toi, Gen-Hackmann pour tes derniers conseils et à toi, Baluze que je crois avoir identifié comme un proche.
Sinon, je vais tâcher de réussir la manoeuvre du Bios et vous tiens informés. Car elle reste toujours d'actualité malgré la découverte de MalwareBytes, n'est-ce pas?
 TR/Dropper.Gen est toujours tapi dans son coin, ne demandant qu'à refaire surface.

canou · Answer

J'ai bien réussi à paramétrer le bios comme indiqué et le CD se lance au démarrage du pc, mais en m'affichant une page incompréhensible pour moi, où j'ai retenu, après un tableau portant des indications qui sont du chinois pour moi, une phrase: DR/DOS: A> et un curseur qui clignote. J'ai interprété qu'il s'agissait d'un système protégé... J'ai paramétré le bios dans sa configuration initiale.

Toujours est-il, que la page d'accueil de DR WEB CD line ne s'ouvre pas.
Est-ce que une nouvelle analyse par DR WEB Curreit déjà utilisé permettrait un  résultat identique?

canou · Answer

Bonsoir,
mon lecteur est D. J'ai fait plusieurs retours dans le bios, en changeant le 1st Boot device. Il se trouve que les différentes propositions offertes sont entre parenthèse et signalées sur le volet droit comme"disabled". Je ne suis jamais arrivé  à obtenir la page d'accueil de mini Dr web CD line, et encore moins la page du Dos à laquelle j'avais eu accès 1 fois en lançant le CD gravé au redémarrage de l'ordi. GROSSE PRISE DE TÊTE !!!
Je me demande si je dois continuer à te faire perdre ton temps et j'avoue avoir quelques scrupules.

Bonne nuit pour récupérer des fatigues occasionnées par des gens comme moi, un peu durs de la "comprenette".

canou · Answer

Bonjour,

J'ai bien suivi les consignes à la lettre et ce matin, surprise, je n'arrive pas à ouvrir Windoxs XP avec l'écran de bienvenue. JE SUIS REVENU DANS LE BIOS AFIN DE VOIR LA CONFIG des priorités de démarrage qui n'a pas changé depuis hier au soir où je n'avais aucune difficulté à démarrer et redémarrer. A noter que je ne peux intervenir sur les priorités de démarrage toutes entre parenthèses signifiant "disabled" et impossible à remettre en "enabled". La touche F9 n'agit pas pour retourner aux priorités initialement configurées.
J'ai essayé les modes de redémarrage proposés, du mode sans échec en passant par  mode sans échec avec prise en charge réseau jusqu'à  dernière bonne configuration connue. Rien n'y fait , même la console de récupération. Je ne peux plus jouer aux apprentis sorciers, même en étant guidé par des personnes compétentes. Je vois le moment où je vais devoir amener mon unité centrale chez un réparateur. Qu'advient-il de ma liaison téléphonique avec ma neufbox  connectée sur mon ordi défaillant si je l'amène chez un réparateur? Je me sers pour vous écrire du pc p portable de ma femme.
J'aurais préféré  donner des nouvelles plus réjouissantes. Au plaisir de te lire.

baluze · Answer

bonjour 

tu n'as même pas de message d'erreur au lancement de windows ? 

je pencherais plutôt pour un problème matériel, seuls quelques virus tel virut 
s'attaquent au système au point d'empêcher totalement son démarrage 

ou alors vraiment un gros changement dans le bios 

ce n'est pas forcément la touche F9 qui remet le bios aux paramètres d'usine cela dépend du tyope de bios 

Dans la mesure où le setup du BIOS permet de modifier des paramètres matériels, il peut arriver que le système devienne instable, voire ne redémarre plus. Ainsi, lorsque cela arrive, il devient nécessaire d'annuler les modifications apportées au BIOS et de remettre les paramètres par défaut. 

Si l'ordinateur démarre et que l'accès au setup du BIOS est possible, celui-ci offre généralement la possibilité de rétablir les paramètres par défaut. Sur les BIOS de type PhoenixBIOS, l'appui sur la touche F9 permet de rétablir les paramètres par défaut du constructeur. Sur les BIOS de type AwardBIOS 
l'appui sur la touche F5 rétablit les paramètres précédents, l'appui sur F6 rétablit les valeurs par défaut du BIOS Award, enfin la touche F7 permet de rétablir les paramètres par défaut fournis par le contructeur de la carte mère. 

Si l'accès au BIOS est impossible par la procédure standard, la plupart des cartes mères sont dotées d'un cavalier (jumper) leur permettant de rétablir les valeurs par défaut. Il suffit de changer la position du cavalier, et de le laisser maintenu dans cette nouvelle position pendant une dizaine de secondes.  

ta box est indépendante du pc tu peux avoir plusieurs pc en wi fi donc aucun reliés physiquement par un fil à un pc, cela n'empêche ni communication téléphonique ni tv  

Au cas où tu débrancheras la prise ethernet reliant la box au pc et en ne touchant à rien d'autre aucune raison que les autres équipements ne marchent pas

As tu un cd windows xp ou était il déjà pré installé sur ta machine ?

canou · Answer

bjr, merci de te préoccuper de mon problème;j'ai rebooté dans le bios sur démarrage" cd rom et lancé la réinstallation de Windows xp avec le cd rom fourni par le constructeur.
Il lance bien et je tape sur R pour réparer. A la fin de son travail, il me demande "exit" pour sortir du système et redémarrer, ce que j'ai fait, mais sans succès. j'ai relancé une installation windows xp et j'attens si çà va marcher cette fois-ci.

canou · Answer

Il semblerait que j'ai pu récupérer Windows. Après la fin de son travail de réparation à partir du CD Rom de réinstallation d'origine, au lieu de taper 'EXIT', j'ai entré CHKDSK. Il a poursuivi son travail de réparation et à la fin j'ai tapé C:> FIXREBOOT puis EXIT et le système a redémarré. 1 problème a été identifié sur le volume disque dur.

Est-ce que ce travail de réinstallation de WINDOWS XP familial a pour autant supprimé les virus?
OUF! Je me suis fait des frayeurs mais c'est à ce prix que j'apprends.
Merci encore de l'aide apportée.

gen-hackman · Answer

ok salut fais ce grand menage on avisera ensuite Pour nettoyer les outils utilsés et mieux sécuriser ton pc -------------------------------------------------------------- Je t'invite à suivre ce tutoriel pour le final il inclut ♦ du nettoyage après desinfection ♦ des mises à jour pour combler des failles de securité de logiciels importants non mis à jour ▶ et enfin quelques conseils à suivre afin que la protection soit plus efficace __________________________________________________ Si nous avons utilisé Defogger et cliqué sur "disable" , tu peux le "reenable" __________________________________________________ ▶ Télécharge DelFix sur ton bureau. ▶ Lance le, tape suppression puis valide Patiente pendant le scan jusqu'à l'ouverture du rapport. ▶ Copie/Colle le contenu du rapport dans ta prochaine réponse. Note : Le rapport se trouve également sous C:\DelFix.txt tu peux le desinstaller ___________________________________________________ ▶ Télécharge :ATF Cleaner par Atribune Ferme tous tes navigateurs Double-clique (clic droit "en tant qu'administrateur" pour Vista) ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected a NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus. __________________________________________________ ▶ Tu peux garder ATF pour d'eventuels nettoyages un peu plus poussés __________________________________________________ ▶ Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : * Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... * Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. * Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse * Veille a ce que dans les options le reglage soit au demarrage de windows et réglé sur "effacement securisé" 35 passes (guttman) __________________________________________________ Attention : ne pas toucher au PC pendant qu'il travaille ! ▶ Nettoyage et Défragmentation de tes Disques *Nettoyage : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général" Cliques sur le bouton "nettoyage de disque", OK tu le fais pour chacun de tes disques ________________________________________________ *Vérifications des erreurs : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil" "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -réparer automatiquement les erreurs... -rechercher et tenter une récupération... --->Démarrer, ok Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal tu le fais pour chacun de tes disques ________________________________________________ ensuite toujours dans le même onglet tu choisis : *Défragmentation : "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK tu le fais pour chacun de tes disques _______________________________________________ Note : si tu as un utilitaire pour défragmenter , utilises le à la place pour ce faire Defraggler est proposé _________________________________________________ ▶ Peux-tu vérifier ta Console Java ? : et installer la nouvelle version si besoin est (dans ce cas désinstalle avant l'ancienne version). voici pour desinstaller : JavaRa Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa. * Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). * Choisis Français puis clique sur Select. * Clique sur Recherche de mises à jour. * Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. * Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes. * L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions. * Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. * Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse. * Ferme l'application. Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log. _________________________________________________ ▶ Mets à jour Adobe Reader si ce n'est pas le cas (désinstalle avant la version antérieure) __________________________________________________ ▶ Je te conseille si tu n en as pas , afin de mieux securiser ton pc , d'installer un parefeu : Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) ou COMODO https://www.commentcamarche.net/telecharger/securite/16545-online-armor-personal-firewall/ https://www.01net.com/telecharger/windows/Securite/firewall/fiches/39911.html https://forum.pcastuces.com/sujet.asp?f=25&s=35606 https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html https://manuelsdaide.com/contact/ http://www.open-files.com/forum/index.php?showtopic=29277 https://www.commentcamarche.net/telecharger/securite/24863-zonealarm/ ___________________________________________________ ▶ Tu peux aussi vider ta corbeille,quoi que Ccleaner le fasse tout seul _____________________________________________________ ▶ Si nous avons utilisé MalwareByte's Anti-Malware , vide sa quarantaine : * Lance le programme puis clique sur . * Sélectionne tous les éléments puis clique sur . * Quitte le programme. ______________________________________________________ ▶ si tu as installé Antivir : Configuration ________________________________________________________ ▶ Idem pour ton antivirus : vide sa quarantaine si ce n'est pas déjà fait ______________________________________________________ ▶ Désactive et réactive la restauration de système, pour cela : suis les instructions du lien : Lien XP Lien Vista ▶ Sitôt fait , recrées un point de restoration dit "sain" pour parer à quelques eventuels problêmes dans le futur ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Quelques conseils et recommandations pour l'avenir : ▶ Passe un coup de MalwareByte's Anti-Malware de temps en temps (1 fois par semaine , suivant l'utilisation que tu fais de ton PC. ▶ Utilise aussi tes autres logiciels de protection (scannes antivirus, antispywares...). N'oublie pas de faire les mises à jour avant de les utiliser. * Pense aussi à faire une défragmentation de tes disques durs de temps en temps (garde suffisamment d'espace sur C:\ (1/3 de libre pour être à l'aise)) _____________ ▶ Pour bien protéger ton PC : [1 seul Antivirus] + [1 seul Pare feu] + [Un bon Antispyware] + [Mises à Jour récentes Windows et Logiciels de Protection] + [Utilisation de Firefox -ou autres- (Internet Explorer présente des failles de sécurité qui mettent longtemps avant d'être corrigées mais il faut absolument le conserver pour les mises à jour Windows et Windows live Messenger)] Je te conseille d'installer cette extension pour Firefox pour securiser ton surf : WOT Je te conseille d'installer cette extension pour Internet Explorer pour securiser ton surf : WOT PS : En fait la meilleure des protections c'est toi même : ce que tu fais avec ton PC : où tu surfes, télécharges...ect.... Les virus utilisent les failles de ton PC pour infecter un système ▶ dans le souhait de vouloir desinstaller un antivirus au profit d'un autre , voici quelques liens : Desinstaller Avast Desinstaller BitDefender Desinstaller Norton Desinstaller Kaspersky Desinstaller AVG ou tout en un : Désinstallation Antivirus , Parefeu , Antispyware _____________ ▶ Si tu as Vista n'oublie pas de réactiver le controle des comptes des utilisateurs(UAC) ___________ ▶ Si tu as Spybot S&D et que nous avons desactive le "Tea-timer" tu peux le réactiver ___________ ▶ si nous avons affiché les fichiers cachés , n'oublies pas de les remettre en attribut "caché" ▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage * - Décoche Afficher les fichiers et dossiers cachés * - coche Masquer les extensions des fichiers dont le type est connu * - coche Masquer les fichiers protégés du système d'exploitation (recommandé) ▶ clique sur Appliquer, puis OK. ____________ Voila, Bonne lecture, à bientot , une fois tout ceci fait, tu peux mettre le topic en resolu Bonne continuation et surtout , prudence et bon surf :) ¤¤¤¤¤¤?G3?-?@¢??@?(TM)©®?¤¤¤¤¤¤

canou · Answer

http://www.cijoint.fr/cjlink.php?file=cj201011/cijSaSDEdO.txt

Ci-dessus le rapport de DELFIX.

je continue avec ATF Cleaner et te joins le rapport.
J'ai bien pris connaissance de tes recommandations et t'en remercie.

Indique moi comment renseigner le topic en résolu.

canou · Answer

Bonsoir,
Dans le fichier 'C:\WINDOWS\Installer\{9051040C-6000-11D3-8CFE-0150048383C9}\visicon.exe'
un virus ou un programme indésirable 'TR/Dropper.Gen' [trojan] a été détecté.
Action exécutée : Refuser l'accès

C'est ce que vient de m'annoncer Antivir à l'instant quand j'ai ouvert le dossier de téléchargement pour ATF cleaner.
Je continue malgré tout la manoeuvre avec ce logiciel. Quant aux autres, CCleaner, Deffragler, je les ai et m'en sers déjà comme tu l'indiques.
Pour le topic, j'ai vu ton lien. A plus tard.

canou · Answer

Tr/DROPPER.Gen se manifeste à l'instant (même fichier que plus haut) à l'exécution de ATF Cleaner. 

ATF Cleaner annonce "Delete 24000 Kbs".

Dois-je supprimer ATF Cleaner, malgré ton conseil de le garder, du dossier de téléchargement ainsi que le raccourci sur le bureau?
Je pourrai toujours le télécharger si besoin.

J'ai lu attentivement tes préconisations pour la suite. Il y en a une majorité que j'appliquais (défragmentation, restauration système, mises à jour régulières Java, adobe reader,vérification des erreurs, utilisation d'un pare-feu: Comodo, de CCleaner). heureusement, sinon quelle nature d'infection j'aurais eu!
 J'attends de te lire afin de mettre le topic en résolu.

gen-hackman · Answer

ca me laisse perplexe ce declenchement intempestif...

canou · Answer

Dans le fichier 'C:\WINDOWS\Installer\{9051040C-6000-11D3-8CFE-0150048383C9}\misc.exe'
un virus ou un programme indésirable 'TR/Dropper.Gen' [trojan] a été détecté.
Action exécutée : Refuser l'accès. à 19h57

Je comprends ta perplexité. Tout comme toi, je ne peux que constater que ce virus est un mutant qui résiste à tous les traitements, même les plus radicaux.
Entretemps, j'ai effectué la vérification fichiers avec réparation et nettoyage ainsi que la défragmentation du disque dur.

Je te souhaite une bonne nuit et te remercie pour tous les conseils avisés que tu m'as donnés tout au long de ce parcours d'éradication d'une bestiole extra-terrestre.
Si tu estimes que quelque chose doit encore être entrepris, je suis bien entendu à ta disposition.

gen-hackman · Answer

fais tout le menage et on avise

canou · Answer

Ménage fait selon tes préconisations.

Re bonne nuit.

gen-hackman · Answer

plus de soucis ?

canou · Answer

Je n'ai pas eu de soucis aujourd'hui avec ma navigation, en tout cas pas d'alerte Antivir. Il n'y en a eu qu'à partir du moment où j'ai ouvert le fichier de téléchargement de ATF Cleaner et lancé l'exécution du programme. 
Alors qu'aucune alerte ne s'était déclenchée au téléchargement de DELFIX un peu avant, ni à l'exécution de son programme.

Bizarre, vous avez dit bizarre!!!...
Ouverture intempestive du navigateur AOL ainsi qu'une fenêtre  de Flash Player 10 me demandant de l'installer alors que la dernière mise à jour l'est depuis longtemps.

Encore une fois, bonne nuit et a + si tu as des suggestions à me faire. Il paraît que la nuit porte conseil.

gen-hackman · Answer

Télécharge SEAF.exe de C_XX 


*Double clique sur SF.exe (Exécuter en tant qu'administrateur pour Vista/7) . 

*Une fenêtre  va s'ouvrir . 

*Tape PMJ151LA.BIN  dans cette fenêtre  

confirme la recherche dans le registre et [Entrée]. 

*Patiente pendant la recherche. 

*Une fenêtre avec un log.txt va s'afficher. 

*Copie/colle ce rapport dans ta prochaine réponse. 
¤¤¤¤¤¤?G3?-?@¢??@?(TM)©®?¤¤¤¤¤&#164

canou · Answer

Avant d'exécuter ta consigne, je voulais te faire part d'une nouvelle qui vaut son pesant de moutarde: dernière trouvaille d'antivir alors que j'ouvrais IE8 pour vérifier les mises à jour de microsoft up date (toutes sont effectuées): Dans le fichier 'C:\WINDOWS\system32\ActiveSkin.ocx'
un virus ou un programme indésirable 'PCK/Asprotect' [packer] a été détecté.
Action exécutée : Refuser l'accès.

Bon, je fais ce que tu demandes et te poste le rapport. Après, dodo!!!

canou · Answer

http://www.cijoint.fr/cjlink.php?file=cj201011/cijdLkiLaK.txt

Ci-dessus rapport Seaf.

Merci encore de ta disponibilité.
Comme promis, je vais aller me coucher et à plus.

gen-hackman · Answer

quel adobe reader as-tu d'installé ?

canou · Answer

adobe reader CPSID 83708
l'ouverture du panneau de configuration pour visualiser ma version d'Adobe Reader a valu une nouvelle alerte Antivir avec toujours TR/Dropper.Gen dans windows installer.

gen-hackman · Answer

je sèche.....

canou · Answer

Je ne me résous pas à aller dormir comme tu peux le constater. Merci de ta persévérance. Ne te prends pas plus la tête. Une bonne nuit de sommeil là-dessus et tout s'éclaircira. C'est, en tout cas, ce que j'ai vérifié pour moi.
J'espère qu'il en sera de même pour toi.

A demain pour la suite de ce feuilleton à suspense. Notre héros arrivera-t-il à trouver l'énigme?
Tu peux compter sur ma participation active pour t'y aider.

canou · Answer

Bonjour ,

A la recherche d'informations supplémentaires sur le site d'avira, j'ai trouvé une traduction en allemand où TR/Dropper.gen serait un faux positif. A vérifier, mais comment?
J'ai voulu faire une analyse avec MalwareBytes en mode sans échec, mais impossible d'y arriver, même après touche F8 et F5 où je sélectionne bien le mode désiré. Après, écran noir avec curseur clignotant et qui le reste.
A l'occasion des désinfections qui nous préoccupent depuis une semaine, je suis pourtant passé avec succès plusieurs fois en mode sans échec avec ou sans prise en charge réseau.
Est-ce dû à la réparation à l'aide du CD de réinstallation de Windows XP home?
Mystère. Et je n'ai pas envie de faire les manips conseillées dans un tel cas que j'ai pu lire par ci par là sur des forums dont CCM sans t'avoir consulté préalablement. 
Sinon depuis ce matin 6h30 où je suis réveillé, pas de problème particulier à signaler, ni de navigation, ni autres. Il est vrai que je n'ai pas tenté d'exécuter des logiciels téléchargés, ni fait de téléchargements.

gen-hackman · Answer

bonjour

dans ce cas , je pense que tu devrais envoyer les detections à ton antivirus pour 
qu'ils corrigent ce faux positif
j'ai avais pensé au FP....

canou · Answer

Bonjour,

Le forum de Malekal fait état d'une détection identique qui a fait l'objet d'un envoi à Antivir qui lui a confirmé qu'il s'agissait bien d'un faux positif (rapport Antivir à l'appui).
Si je comprends bien, il y a eu plus de peur que de mal. Je n'ai plus qu'à mettre le fichier concerné dans les exceptions d'antivir guard.
Quoiqu'il en soit, ce travail de désinfection n'aura pas été inutile.
A toi de me dire si je peux considérer le problème résolu et le mettre dans le topic.


A+

gen-hackman · Answer

salut

c'est pour cela que je séchais ^^

si tu as fait tout le menage préconisé ici , oui :

https://forums.commentcamarche.net/forum/affich-19874365-trojan-tr-dropper-gen-java-agent2212?full#114

Canou · Answer

Je n'ai pas trouvé l'onglet "marquer comme résolu". Est-ce que tu peux le faire pour moi, sachant que c'est exactement ma pensée.
Je t'adresse toute ma gratitude pour ta persévérance à m'aider dans la résolution du problème initial.
Comme j'ai déjà eu l'occasion de te le dire au fur et à mesure des posts, j'ai apprécié, entre autres choses, ton sens de la pédagogie.T'adressant à un novice comme moi, tu as su me faire comprendre les façons de procéder dans l'utilisation des outils de désinfection et de nettoyage et j'ai pu mesurer ton efficacité.
Alors, OUI, bien sûr que je considère que le problème est résolu!!!

J'espère, toutefois, n'avoir jamais besoin de faire appel aux services de ce remarquable site qu'est CCM. Mais, si tel est le cas, je souhaite que ce soit toi qui me "prenne en charge". Ceci dit sans malveillance pour les autres contributeurs, qui tous font un travail formidable.
A bientôt peut-être et encore un GRAND MERCI!! Bonne continuation.

Trojan tr/dropper.gen;Java/Agent2212

128 réponses

Discussions similaires