Generic 17 AUNM

Fermé
Axisanté - 3 déc. 2010 à 02:43
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 - 9 déc. 2010 à 03:33
Bonjour,


AVG 2011 a détecté un cheval de troie : Generic 17 AUNM.
Comment s'en débarasser sans affecter le fichier sur lequel il se trouve?
Merci de votre aide.

7 réponses

anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
3 déc. 2010 à 09:17
Bonjour,


Bienvenue sur CCM !
Nous allons essayer de régler ton problème ensemble. D'abord, quelques rappels :

- N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
- N'hésite pas à poser des questions en cas de besoin ;)
- Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne ;)
- La désinfection (si nécessaire) va se dérouler en plusieurs étapes. Même si les symptômes de l'infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu'au bout, sinon ce qu'on a fait n'aura servi à rien.


Commence par utiliser ce logiciel de diagnostic stp, ça me permettra de t'aider :

* Télécharge ZHPDiag (de Nicolas Coolman)
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum


Précise moi également quels sont les fichiers détectés par AVG stp

1
Axisanté Messages postés 3 Date d'inscription samedi 4 décembre 2010 Statut Membre Dernière intervention 8 décembre 2010
4 déc. 2010 à 23:42
Bonsoir,

Voici le lien obtenu après la manipulation que tu m'as demandée d'effectuer :
http://www.cijoint.fr/cjlink.php?file=cj201012/cijPBbbjsI.txt

Voici également les 2 fichiers détectés par AVG:

"";"C:\VPPRODUCTS\FDB_FR\VPCommon\Packages\LOGIQworks_3.0.9a.152.rar:\target\bin\GeInit.exe";"Cheval de Troie : Generic17.AUNM";"Infecté"

"";"C:\VPPRODUCTS\FDB_FR\VPCommon\Packages\LOGIQworks_3.0.9a.152.rar";"Cheval de Troie : Generic17.AUNM";"Infecté"

Au sujet de AVG, j'ai lancé une analyse complète avant d'installer ZHPDiag . Réponse : aucune infection détectée. J'ai, donc, lancé une analyse contextuelle sur les fichiers incriminés. Réponse : il ressort les deux fichiers infectés ci-dessus.
Je trouve cela plutôt inquiétant. Peut-être que cette infection existe depuis longtemps et qu'elle n'a pas été détectée par AVG. Qu'en penses-tu ? Comment expliquer cela ?
Merci de ta réponse et de ton aide.
Très cordialement,
Axisanté
0
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
5 déc. 2010 à 01:50
Il y a une infection de disques amovibles :

* Télécharge USBFix (de El desaparecido et C_XX) sur ton Bureau
* Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3 etc...) sans les ouvrir
* Fais un clic droit sur le programme USBFix et choisis 'Exécuter en tant qu'administrateur'.
* Au menu principal, clique sur "Suppression"
* Ton Bureau va disparaitre, puis l'ordinateur va redémarrer : c'est normal
* Laisse travailler l'outil jusqu'au bout
* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse stp

Aide en images : Nettoyage


Peux-tu analyser les deux fichiers que tu m'indiques sur ce site stp ?

0
Axisanté Messages postés 3 Date d'inscription samedi 4 décembre 2010 Statut Membre Dernière intervention 8 décembre 2010
5 déc. 2010 à 11:38
Bonjour,

Voici le rapport de UsbFix.
Virus total n'a pu accepté mon fichier car supérieur à 20Mb.
Penses-tu qu'on puisse éradiquer le trojan sans abimer ce fichier?
Merci de ton aide.
Cordialement,
Axisanté

############################## | UsbFix 7.035 | [Suppression]

Utilisateur: Marc (Administrateur) # PC-DE-MARC [Dell Inc. XPS M1330]
Mis à jour le 22/11/10 par El Desaparecido / C_XX
Lancé à 10:53:49 | 05/12/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: Intel(R) Core(TM)2 Duo CPU T7500 @ 2.20GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU T7500 @ 2.20GHz
Microsoft® Windows Vista(TM) Édition Intégrale (6.0.6002 32-Bit) # Service Pack 2
Internet Explorer 8.0.6001.18975

Pare-feu Windows: Activé
RAM -> 2045 Mo
C:\ (%systemdrive%) -> Disque fixe # 174 Go (47 Go libre(s) - 27%) [OS] # NTFS
D:\ -> Disque fixe # 10 Go (3 Go libre(s) - 32%) [RECOVERY] # NTFS
E:\ -> CD-ROM
F:\ -> Disque fixe # 298 Go (195 Go libre(s) - 65%) [My Passport] # NTFS

################## | Éléments infectieux |


Supprimé! C:\$RECYCLE.BIN\S-1-5-21-1947396563-3114899464-1526919888-1000
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-1947396563-3114899464-1526919888-500
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-51003140-4199384537-3980697693-500
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-595322221-2142121968-3140193787-500
Supprimé! D:\$RECYCLE.BIN\S-1-5-18
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-1947396563-3114899464-1526919888-1000
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-1947396563-3114899464-1526919888-500
Supprimé! F:\$RECYCLE.BIN\S-1-5-21-1947396563-3114899464-1526919888-1000
Supprimé! F:\Recycler\S-1-5-21-225569492-723456111-2449130349-1007
Supprimé! F:\Recycler\S-1-5-21-4286236469-295893168-1918015072-1005
Supprimé! F:\autorun.inf

################## | Registre |


################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\F
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{0487f432-ab15-11dd-91cc-001c26f1b584}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{378c0e43-bc7e-11de-8834-001c26f1b584}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{7e21efac-674d-11dc-b474-806e6f6e6963}

################## | Listing |

[27/10/2009 - 00:04:51 | D ] C:\$AVG
[05/12/2010 - 10:59:59 | SHD ] C:\$Recycle.Bin
[15/09/2010 - 13:02:32 | D ] C:\489c1be544e859bee9
[14/10/2010 - 12:13:19 | D ] C:\7f58cd0dc13b5e9754e59145d35feab4
[05/12/2010 - 09:24:16 | D ] C:\Ariane
[18/09/2006 - 22:43:36 | N | 24] C:\autoexec.bat
[09/11/2008 - 22:30:30 | D ] C:\AutoSav
[21/09/2010 - 09:09:25 | D ] C:\Axisante2000
[23/11/2010 - 20:43:18 | D ] C:\Boot
[11/04/2009 - 07:36:36 | RASH | 333257] C:\bootmgr
[14/11/2010 - 21:26:36 | N | 8192] C:\BOOTSECT.BAK
[23/11/2010 - 15:48:59 | N | 1906] C:\cleannavi.txt
[30/08/2010 - 08:14:52 | D ] C:\ClientLogDirectory
[18/09/2006 - 22:43:37 | N | 10] C:\config.sys
[10/11/2008 - 21:11:36 | D ] C:\DELL
[20/09/2007 - 16:44:01 | N | 4608] C:\dell.sdr
[20/09/2007 - 16:36:07 | D ] C:\doctemp
[20/09/2007 - 08:59:52 | D ] C:\Documents and Settings
[20/09/2007 - 16:36:03 | D ] C:\Drivers
[05/12/2010 - 09:21:14 | ASH | 2145431552] C:\hiberfil.sys
[24/10/2009 - 23:17:34 | D ] C:\HP_P2050_Default_Install_4.0
[14/04/2008 - 18:13:23 | D ] C:\insite 1.3
[10/11/2008 - 21:11:36 | D ] C:\Intel
[05/11/2008 - 15:19:03 | N | 0] C:\IO.SYS
[05/11/2008 - 10:59:32 | D ] C:\LTS
[05/11/2008 - 15:19:03 | N | 0] C:\MSDOS.SYS
[09/11/2008 - 16:40:15 | RHD ] C:\MSOCache
[21/03/2009 - 20:52:55 | D ] C:\Mysoft - Dictionnaire spécialisé
[23/11/2010 - 15:49:03 | D ] C:\Navilog1
[05/11/2008 - 11:26:01 | N | 1210368] C:\OKIC5900Vista32FR.exe
[05/11/2008 - 11:26:21 | D ] C:\OkiDriver
[07/09/2009 - 12:24:52 | N | 35908] C:\P1005.log
[05/12/2010 - 09:21:13 | ASH | 2097152000] C:\pagefile.sys
[10/11/2008 - 21:11:39 | D ] C:\PerfLogs
[04/12/2010 - 23:12:20 | D ] C:\Program Files
[23/11/2010 - 18:00:34 | HD ] C:\ProgramData
[19/12/2009 - 19:46:58 | N | 0] C:\settings.mmp
[20/09/2007 - 09:00:24 | N | 174] C:\Setup.log
[05/12/2010 - 09:52:03 | SHD ] C:\System Volume Information
[05/12/2010 - 11:00:00 | D ] C:\UsbFix
[05/12/2010 - 10:53:58 | A | 3946] C:\UsbFix.txt
[05/11/2008 - 07:36:50 | D ] C:\Users
[05/11/2008 - 11:01:31 | D ] C:\VPPRODUCTS
[02/12/2010 - 09:01:34 | D ] C:\Windows
[27/11/2010 - 16:42:50 | D ] C:\_AcroTemp
[27/10/2009 - 00:04:06 | D ] D:\$AVG
[05/12/2010 - 11:00:00 | SHD ] D:\$RECYCLE.BIN
[26/04/2008 - 22:11:55 | N | 5910] D:\BDWizReg.log
[20/09/2007 - 09:24:17 | D ] D:\dell
[13/04/2008 - 18:58:13 | N | 528] D:\MediaID.bin
[02/11/2006 - 11:23:02 | D ] D:\Program Files
[02/11/2006 - 11:22:50 | HD ] D:\ProgramData
[04/12/2010 - 12:01:28 | D ] D:\SAUVEGARDE VIEWPOINT
[17/11/2006 - 17:06:22 | D ] D:\sources
[05/12/2010 - 09:51:57 | SHD ] D:\System Volume Information
[05/12/2007 - 10:36:03 | D ] D:\Tools
[02/11/2006 - 11:22:50 | D ] D:\Users
[20/09/2007 - 09:22:58 | D ] D:\Windows
[05/12/2010 - 11:00:00 | SHD ] F:\$RECYCLE.BIN
[26/10/2009 - 23:42:26 | N | 80780176] F:\avg_free_stf_eu_90_686a1719.exe
[18/04/2010 - 18:05:51 | D ] F:\DmailerData
[10/09/2010 - 17:49:50 | N | 13672552] F:\DmailerSync_9_1_18359.exe
[25/07/2010 - 11:56:08 | N | 8900792] F:\DmailerSync_v9_0_16292.exe
[04/11/2008 - 23:13:36 | D ] F:\PC-DE-MARC
[11/11/2010 - 23:28:03 | D ] F:\PERSO
[14/02/2010 - 13:16:07 | D ] F:\RAPHAEL
[05/12/2010 - 10:58:21 | SHD ] F:\RECYCLER
[27/11/2010 - 21:59:35 | D ] F:\SAuvegarde Axilog
[27/11/2010 - 22:57:37 | D ] F:\Sauvegardes Médicales
[25/07/2010 - 11:49:46 | N | 0] F:\settings.mmp
[03/10/2010 - 15:38:05 | SHD ] F:\System Volume Information
[25/07/2010 - 11:53:39 | D ] F:\WD
[10/11/2008 - 19:49:17 | D ] F:\WindowsImageBackup

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
F:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
5 déc. 2010 à 21:19
Les deux fichiers font tous les deux plus de 20Mo ?
L'ennui, c'est que je ne sais pas ce que sont ces fichiers... Est-ce que tu le sais ? A mon avis, c'est une fausse alerte de AVG.

Si tu ne sais pas à quoi correspondent ces fichiers, on va tester quelque chose :
* Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
* Décoche "Masquer les fichiers protégés du Système" puis valide.
* Ajoute une extension .vir aux fichiers : renomme GeInit.exe en GeInit.exe.vir et renomme LOGIQworks_3.0.9a.152.rar en LOGIQworks_3.0.9a.152.rar.vir

Ce changement d'extension va empêcher ces fichiers de se lancer : s'ils sont néfastes, ils ne pourront plus fonctionner... Si tu t'aperçois qu'ils sont légitimes et que tu en as besoin, tu auras simplement à enlever l'extension .vir ;)


Utilise également ce logiciel de désinfection généraliste :

* Télécharge et installe Malwarebytes' Anti-Malware
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
* Sélectionne tes disques durs" puis clique sur "Lancer l'examen"
* A la fin de l'analyse, clique sur Afficher les résultats
* Coche tous les éléments détectés puis clique sur Supprimer la sélection
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Poste dans ta prochaine réponse le rapport apparaissant après la suppression stp

0
Axisanté Messages postés 3 Date d'inscription samedi 4 décembre 2010 Statut Membre Dernière intervention 8 décembre 2010
8 déc. 2010 à 18:43
Bonsoir,

En fait, il n'y a pas vraiment 2 fichiers. Lorsqu'on va au bout de l'arborescence on arrive à un seul fichier intitulé : LOGIQworks_3.0.9a.152.rar
Cependant, AVG semble distinguer deux fichiers (? ?).
LOGIQworks_3.0.9a.152.rar est un fichier nécessaire à un logiciel nommé ViewPoint que j'utilise pour mes compte rendu d'échographie (je suis gynécologue).
J'ai contacté General Electric qui m'a vendu ce logiciel. Ils me disent que ce fichier correspond à des plug-ins de radiologie qui ne me sont pas indispensables.
Sur tes conseils, j'ai modifié l'extension de ce fichier en.vir.
J'ai pu constater, qu'effectivement, le logiciel se lançait parfaitement et fonctionnait sans aucun problème.
J'ai installé Malwarebytes' Anti-Malware . Il n'a trouvé aucune infection. Voici le rapport :

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 5264

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18975

08/12/2010 01:35:39
mbam-log-2010-12-08 (01-35-39).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 406980
Temps écoulé: 2 heure(s), 13 minute(s), 30 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

En conclusion : fausse alerte de AVG ?
J'ai récupéré une sauvegarde que j'avais réalisée sur DDE mi-novembre 2010, AVG semble y retrouver la même infection. Alors que la première alerte date du 3 décembre. Il ne m'avait jamais signalé aucune infection durant tout le mois de novembre.
Je crois qu'on peut considérer le problème comme réglé. Qu'en penses-tu ?
Merci du temps que tu m'as consacré.
Très cordialement,
Axisanté
0
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
9 déc. 2010 à 03:33
De rien ;)

C'est donc une mise à jour récente de AVG qui déclenche cette fausse alerte : il faudrait que tu contactes le support de AVG pour faire corriger ce faux positif.
Si les fichiers correspondent à des plugins importants, il vaudrait mieux remettre l'extension normale.

0