Probleme avec TR/Downloader.Gen Résolu/Fermé

Question

Bonjour, 


Cela fait 3 jours que ce trojan TR/downloader.gen est venu se planter dans mon ordi. Après avoir lu plusieurs notes sur les forums, j'ai pris Malwaresbytes et fais une recherche complete de l'ordi.

Apres avoir effacer ce trojan, il réapparait sur Antivir de maniere régulière. Toutes les 5 - 10minutes un message apparait :

" logiciel malveillant detecté  antivir guard à détecté 2  virus ou programmes indésirables  l'acces à été refusé". 

Mais lorsque je scanne avec avira ou malwaresbytes pour reduire à néant cette gene, rien n'apparait ! o menaces...

Je ne sais pas si je suis infecté ou non et surtout comment faire pour arreter ces messages d'alertes  en continu ... je n'en peux plus....

jfkpresident · Answer

Bonsoir,

Télécharge ZhpDiag de Nicolas Coolman .
  
    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe(clic droit ,"éxécuter en tant qu'administrateur" pour Vista/7).

    Une fois installé le programme s'ouvre automatiquement .

    Clique sur la loupe pour lancer l'analyse.

    A la fin de l'analyse, clique sur la "disquette" (enregistrer sous..) .

    Rend toi sur ce site : http://www.cijoint.fr/index.php
     
    Clique sur parcourir et sélectionne le fichier ZhpDiag.txt (Une aide au cas ou])

    Un lien va etre créer ,poste ce lien dans ta prochaine réponse.

mazor4 · Answer

Ok merci de ton conseil :)

voici le lien :
http://www.cijoint.fr/cjlink.php?file=cj201102/cij9pImqXB.txt

mazor4 · Answer

Tres bien, une fois le lien déposé, il n'y a plus qu'a attendre ?

jfkpresident · Answer

Salut.

Ma connection (orange) est coupé pour le moment donc je regarde ton rapport des que ce sera revenu.

mazor4 · Answer

D'accord, pas de soucis.

jfkpresident · Answer

Salut,

Aucuns signes d'infections sur ton pc mais peux tu me coller le dernier rapport de détection d'Antivir ?

mazor4 · Answer

Oui bien sur

Avira AntiVir Personal
Date de création du fichier de rapport : jeudi 10 février 2011  18:40

La recherche porte sur 2468236 souches de virus.

Le programme fonctionne en version intégrale illimitée.
Les services en ligne sont disponibles.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows 7 x64
Version de Windows      : (plain)  [6.1.7600]
Mode Boot               : Démarré normalement
Identifiant             : Système
Nom de l'ordinateur     : ASUS-PC

Informations de version :
BUILD.DAT               : 10.0.0.107     31825 Bytes  09/12/2010 10:51:00
AVSCAN.EXE              : 10.0.3.5      435368 Bytes  23/12/2010 06:09:20
AVSCAN.DLL              : 10.0.3.0       56168 Bytes  17/08/2010 12:39:10
LUKE.DLL                : 10.0.3.2      104296 Bytes  23/12/2010 06:09:21
LUKERES.DLL             : 10.0.0.0       13672 Bytes  17/08/2010 12:39:11
VBASE000.VDF            : 7.10.0.0    19875328 Bytes  06/11/2009 06:35:52
VBASE001.VDF            : 7.11.0.0    13342208 Bytes  14/12/2010 06:09:04
VBASE002.VDF            : 7.11.0.1        2048 Bytes  14/12/2010 06:09:04
VBASE003.VDF            : 7.11.0.2        2048 Bytes  14/12/2010 06:09:04
VBASE004.VDF            : 7.11.0.3        2048 Bytes  14/12/2010 06:09:04
VBASE005.VDF            : 7.11.0.4        2048 Bytes  14/12/2010 06:09:04
VBASE006.VDF            : 7.11.0.5        2048 Bytes  14/12/2010 06:09:04
VBASE007.VDF            : 7.11.0.6        2048 Bytes  14/12/2010 06:09:04
VBASE008.VDF            : 7.11.0.7        2048 Bytes  14/12/2010 06:09:04
VBASE009.VDF            : 7.11.0.8        2048 Bytes  14/12/2010 06:09:04
VBASE010.VDF            : 7.11.0.9        2048 Bytes  14/12/2010 06:09:05
VBASE011.VDF            : 7.11.0.10       2048 Bytes  14/12/2010 06:09:05
VBASE012.VDF            : 7.11.0.11       2048 Bytes  14/12/2010 06:09:05
VBASE013.VDF            : 7.11.0.52     128000 Bytes  16/12/2010 06:09:05
VBASE014.VDF            : 7.11.0.91     226816 Bytes  20/12/2010 06:09:06
VBASE015.VDF            : 7.11.0.122    136192 Bytes  21/12/2010 06:09:06
VBASE016.VDF            : 7.11.0.156    122880 Bytes  24/12/2010 10:31:44
VBASE017.VDF            : 7.11.0.185    146944 Bytes  27/12/2010 10:31:28
VBASE018.VDF            : 7.11.0.228    132608 Bytes  30/12/2010 10:31:26
VBASE019.VDF            : 7.11.1.5      148480 Bytes  03/01/2011 21:04:38
VBASE020.VDF            : 7.11.1.37     156672 Bytes  07/01/2011 17:30:32
VBASE021.VDF            : 7.11.1.65     140800 Bytes  10/01/2011 18:33:34
VBASE022.VDF            : 7.11.1.87     225280 Bytes  11/01/2011 18:33:28
VBASE023.VDF            : 7.11.1.124    125440 Bytes  14/01/2011 02:19:11
VBASE024.VDF            : 7.11.1.155    132096 Bytes  17/01/2011 18:51:07
VBASE025.VDF            : 7.11.1.189    451072 Bytes  20/01/2011 18:55:37
VBASE026.VDF            : 7.11.1.230    138752 Bytes  24/01/2011 14:02:26
VBASE027.VDF            : 7.11.2.12     164352 Bytes  27/01/2011 14:02:18
VBASE028.VDF            : 7.11.2.43     178176 Bytes  01/02/2011 16:54:31
VBASE029.VDF            : 7.11.2.78     206336 Bytes  04/02/2011 15:07:04
VBASE030.VDF            : 7.11.2.79       2048 Bytes  04/02/2011 15:07:04
VBASE031.VDF            : 7.11.2.107    165376 Bytes  09/02/2011 12:52:57
Version du moteur       : 8.2.4.162 
AEVDF.DLL               : 8.1.2.1       106868 Bytes  30/07/2010 08:19:45
AESCRIPT.DLL            : 8.1.3.53     1282427 Bytes  01/02/2011 16:55:05
AESCN.DLL               : 8.1.7.2       127349 Bytes  23/12/2010 06:09:16
AESBX.DLL               : 8.1.3.2       254324 Bytes  23/12/2010 06:09:17
AERDL.DLL               : 8.1.9.2       635252 Bytes  23/12/2010 06:09:15
AEPACK.DLL              : 8.2.4.9       512374 Bytes  01/02/2011 16:54:58
AEOFFICE.DLL            : 8.1.1.16      205179 Bytes  01/02/2011 16:54:53
AEHEUR.DLL              : 8.1.2.73     3207541 Bytes  05/02/2011 15:07:09
AEHELP.DLL              : 8.1.16.1      246134 Bytes  05/02/2011 15:07:05
AEGEN.DLL               : 8.1.5.2       397683 Bytes  20/01/2011 18:55:38
AEEMU.DLL               : 8.1.3.0       393589 Bytes  23/12/2010 06:09:09
AECORE.DLL              : 8.1.19.2      196983 Bytes  20/01/2011 18:55:38
AEBB.DLL                : 8.1.1.0        53618 Bytes  25/06/2010 21:17:33
AVWINLL.DLL             : 10.0.0.0       19304 Bytes  17/08/2010 12:38:56
AVPREF.DLL              : 10.0.0.0       44904 Bytes  17/08/2010 12:38:55
AVREP.DLL               : 10.0.0.8       62209 Bytes  17/06/2010 14:27:52
AVREG.DLL               : 10.0.3.2       53096 Bytes  17/08/2010 12:38:56
AVSCPLR.DLL             : 10.0.3.2       84328 Bytes  23/12/2010 06:09:20
AVARKT.DLL              : 10.0.22.6     231784 Bytes  23/12/2010 06:09:18
AVEVTLOG.DLL            : 10.0.0.8      203112 Bytes  17/08/2010 12:38:55
SQLITE3.DLL             : 3.6.19.0      355688 Bytes  17/06/2010 14:28:02
AVSMTP.DLL              : 10.0.0.17      63848 Bytes  17/08/2010 12:38:56
NETNT.DLL               : 10.0.0.0       11624 Bytes  17/06/2010 14:28:01
RCIMAGE.DLL             : 10.0.0.26    2550120 Bytes  11/02/2010 00:23:03
RCTEXT.DLL              : 10.0.58.0      99688 Bytes  17/08/2010 12:39:11

Configuration pour la recherche actuelle :
Nom de la tâche...............................: avguard_async_scan
Fichier de configuration......................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4d77d906\guard_slideup.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: quarantaine
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: arrêt
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: arrêt
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: élevé
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Début de la recherche : jeudi 10 février 2011  18:40

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'plugin-container.exe' - '1' module(s) sont contrôlés
Processus de recherche 'plugin-container.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'IELowutil.exe' - '1' module(s) sont contrôlés
Processus de recherche 'IAStorDataMgrSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WDC.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ATKOSD.exe' - '1' module(s) sont contrôlés
Processus de recherche 'HControl.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpwuschd2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winampa.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ATKOSD2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ADSMTray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'DMedia.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NMIndexingService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'IAStorIcon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'HControlUser.exe' - '1' module(s) sont contrôlés
Processus de recherche 'uTorrent.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NMIndexStoreSvr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ALU.exe' - '1' module(s) sont contrôlés
Processus de recherche 'IoctlSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NBService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ASLDRSrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ADSMSrv.exe' - '1' module(s) sont contrôlés

La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\Users\Asus\AppData\Roaming\vp9hsGFYX.exe'
C:\Users\Asus\AppData\Roaming\vp9hsGFYX.exe
    [RESULTAT]  Contient le cheval de Troie TR/Downloader.Gen
Recherche débutant dans 'C:\Users\Asus\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WJ8UZQXE\cbta[2].exe'
Impossible d'ouvrir le chemin à scanner C:\Users\Asus\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WJ8UZQXE\cbta[2].exe !
Erreur système [2]: Le fichier spécifié est introuvable.
Recherche débutant dans 'C:\Users\Asus\AppData\Roaming	w6xtuFy.exe'
C:\Users\Asus\AppData\Roaming	w6xtuFy.exe
    [RESULTAT]  Contient le cheval de Troie TR/Downloader.Gen
Recherche débutant dans 'C:\Users\Asus\AppData\Roaming\Cp7zSIP.exe'
C:\Users\Asus\AppData\Roaming\Cp7zSIP.exe
    [RESULTAT]  Contient le cheval de Troie TR/Downloader.Gen
Recherche débutant dans 'C:\Users\Asus\AppData\Roaming\aNTKIa9k.exe'
C:\Users\Asus\AppData\Roaming\aNTKIa9k.exe
    [RESULTAT]  Contient le cheval de Troie TR/Downloader.Gen
Recherche débutant dans 'C:\Users\Asus\AppData\Roaming\FliM9Av.exe'
C:\Users\Asus\AppData\Roaming\FliM9Av.exe
    [RESULTAT]  Contient le cheval de Troie TR/Downloader.Gen
Recherche débutant dans 'C:\Users\Asus\AppData\Roaming\lCqdP4rcks.exe'
C:\Users\Asus\AppData\Roaming\lCqdP4rcks.exe
    [RESULTAT]  Contient le cheval de Troie TR/Downloader.Gen
Recherche débutant dans 'C:\Users\Asus\AppData\Roaming\HBIN3cNo.exe'
C:\Users\Asus\AppData\Roaming\HBIN3cNo.exe
    [RESULTAT]  Contient le cheval de Troie TR/Downloader.Gen
Recherche débutant dans 'C:\Users\Asus\AppData\Roaming\ssiQ5.exe'
C:\Users\Asus\AppData\Roaming\ssiQ5.exe
    [RESULTAT]  Contient le cheval de Troie TR/Downloader.Gen
Recherche débutant dans 'C:\Users\Asus\AppData\Roaming\UmKjkgzrAa.exe'
C:\Users\Asus\AppData\Roaming\UmKjkgzrAa.exe
    [RESULTAT]  Contient le cheval de Troie TR/Downloader.Gen
Recherche débutant dans 'C:\Users\Asus\AppData\Roaming\zlhaGI73v.exe'
C:\Users\Asus\AppData\Roaming\zlhaGI73v.exe
    [RESULTAT]  Contient le cheval de Troie TR/Downloader.Gen
Recherche débutant dans 'C:\Users\Asus\AppData\Roaming\bvz1ax7dD2.exe'
C:\Users\Asus\AppData\Roaming\bvz1ax7dD2.exe
    [RESULTAT]  Contient le cheval de Troie TR/Downloader.Gen
Recherche débutant dans 'C:\Users\Asus\AppData\Roaming\gPjnzA3irB.exe'
C:\Users\Asus\AppData\Roaming\gPjnzA3irB.exe
    [RESULTAT]  Contient le cheval de Troie TR/Downloader.Gen

Début de la désinfection :
C:\Users\Asus\AppData\Roaming\gPjnzA3irB.exe
    [RESULTAT]  Contient le cheval de Troie TR/Downloader.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '492e872c.qua' !
C:\Users\Asus\AppData\Roaming\bvz1ax7dD2.exe
    [RESULTAT]  Contient le cheval de Troie TR/Downloader.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '51c9a8a1.qua' !
C:\Users\Asus\AppData\Roaming\zlhaGI73v.exe
    [RESULTAT]  Contient le cheval de Troie TR/Downloader.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '03e4f247.qua' !
C:\Users\Asus\AppData\Roaming\UmKjkgzrAa.exe
    [RESULTAT]  Contient le cheval de Troie TR/Downloader.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '65f0bd82.qua' !
C:\Users\Asus\AppData\Roaming\ssiQ5.exe
    [RESULTAT]  Contient le cheval de Troie TR/Downloader.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '205690b2.qua' !
C:\Users\Asus\AppData\Roaming\HBIN3cNo.exe
    [RESULTAT]  Contient le cheval de Troie TR/Downloader.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '5f6da200.qua' !
C:\Users\Asus\AppData\Roaming\lCqdP4rcks.exe
    [RESULTAT]  Contient le cheval de Troie TR/Downloader.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '138d8e49.qua' !
C:\Users\Asus\AppData\Roaming\FliM9Av.exe
    [RESULTAT]  Contient le cheval de Troie TR/Downloader.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '6fedcec0.qua' !
C:\Users\Asus\AppData\Roaming\aNTKIa9k.exe
    [RESULTAT]  Contient le cheval de Troie TR/Downloader.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '42a2e1ab.qua' !
C:\Users\Asus\AppData\Roaming\Cp7zSIP.exe
    [RESULTAT]  Contient le cheval de Troie TR/Downloader.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '5be9da13.qua' !
C:\Users\Asus\AppData\Roaming	w6xtuFy.exe
    [RESULTAT]  Contient le cheval de Troie TR/Downloader.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '37b4f62a.qua' !
C:\Users\Asus\AppData\Roaming\vp9hsGFYX.exe
    [RESULTAT]  Contient le cheval de Troie TR/Downloader.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '460acfb9.qua' !


Fin de la recherche : jeudi 10 février 2011  18:41
Temps nécessaire: 00:02 Minute(s)

La recherche a été effectuée intégralement

      0 Les répertoires ont été contrôlés
     40 Des fichiers ont été contrôlés
     12 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
     12 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      0 Impossible de scanner des fichiers
     28 Fichiers non infectés
      0 Les archives ont été contrôlées
      0 Avertissements
     12 Consignes


Les résultats de la recherche sont transmis au Guard.

mazor4 · Answer

Au début de l'infection, cela à commencer par un mail que j'ai ouvert et qui m'a placé " Paladium", un espece de faux dossier anti virus.

Paladium m'empechait d'avoir accés à mon bureau car il se lancait juste au démarrage.

Grace à malwarebytes, j'ai réussi à l'enlever et nettoyé l'ordi en lancant antivir et malwarebytes en ayant fait attention de couper le net ( apres avoir fait les mises à jours des deux ) et surtout g utilisé ccleaner pour en finir définitivement (en décochant la case des dossiers de moins de 24h)

Comme les résultats étaient tous négatifs.. je me suis dit que tout était ok mais dépuis ce jour , le soucis du tr/downloader est apparu et toutes les 5 minutes environ g un message d'antivir !

c'est usant à force ...

jfkpresident · Answer

Va dans la configuration d'Antivir et change la détection heuristique :

Heuristique fichier...........................: élevé 

Passe le en moyen .

mazor4 · Answer

ok, je viens de faire le réglage à l'instant
Merci.

j'attends un peu pour voir si ça continue

mazor4 · Answer

Mince , c 'est toujours pareil ! je viens d'avoir un message à l'instant avec une alerte de 35 virus .

je viens meme d'un avoir un avec une alerte de 280 virus !! 

en plus sur le rapport , il indique toujours heuristique en élévé alors que je l'ai placé en moyen !!

le logiciel à t'il un soucis ?

jfkpresident · Answer

Il doit y avoir quelquechose qui se cache la dessous .....

Télécharges ComboFix à partir d'un de ces liens :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Et important, enregistre le sur le bureau.

Avant d'utiliser ComboFix :

? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
la protection en temps réel de ton Antivirus et de tes Antispywares,
qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.


Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
est automatiquement sauvegardé et rangé à C:\Combofix.txt)

? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
avant de te reconnecter à internet.

? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

mazor4 · Answer

Bonjour 

je viens de faire la manipulation notée precedemment: voici le contenu de combofix:

http://www.cijoint.fr/cjlink.php?file=cj201102/cijjftXEZd.txt

mazor4 · Answer

Depuis la manipulation avec combofix, je n'ai plus un seul message depuis plus d'une heure.

En plus, j'ai l'impression que mon ordi à gagné en vitesse.

Je suis tres content pour l'instant et si en début d'apres midi il n'y a rien qui soit arrivé en message " d'erreur", je traiterai mon cas comme étant résolu

En tout cas, merci beaucoup jfkpresident :)

jfkpresident · Answer

Combofix a bien bossé sur ce coup la .

==*Nettoyage des outils*==

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Relance ZHPFix sur ton Bureau.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage. 

un peu de lecture afin de ne pas revenir ici

Bon surf sur la toile -;)

Probleme avec TR/Downloader.Gen

15 réponses

Discussions similaires