Se débarasser de TR/Dropper.Gen sur Windows 7Résolu/Fermé

Question

Bonjour, 

Je ne comprends rien à l'info et j'aimerais que qln m'explique de façon claire et simple (en gros vraiment pas à pas) comment est-ce que je peux me débarrasser de TR/Dropper.Gen.

Merci beaucoup!!!

Amélie


Configuration: Windows 7 / Firefox 4.0

moment de grace · Answer

bonjour

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/


(outil de diagnostic)

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur http://pjjoint.malekal.com/

Clique sur "Parcourir " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message

amelise84 · Answer

Merci de votre réponse!
Mais quand je vais sur http://pjjoint.malekal.com/ et que je sélectionne le rapport ZHPdaig.txt et que je l'envoie, il y a écrit "vous n'avez pas choisi de fichier "! Alors que si, je l'ai bien choisi! 
J'ai essayé de copier coller le rapport! Là aussi, ça ne marche pas!

moment de grace · Answer

* Télécharge load_tdsskiller (de Loup Blanc) sur ton Bureau

http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe
 
* Lance load_tdsskiller en faisant un double-clic dessus / Lance par un clic-droit dessus ? Exécuter en temps qu'administrateur 
* L'outil va se connecter pour télécharger une copie à jour de TDSSKiller, puis va lancer une analyse 
*  Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, vérifier que l'option (Cure) est sélectionnée, 
*  Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip),
* A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:	dsskillereport.txt)

amelise84 · Answer

Lorsque je lance un scanne avec çà, il n'y a rien de détecter.
Mais le virus est tj là!

moment de grace · Answer

calme..

essai d'héberger ton rapport zhp ici http://www.cijoint.fr/ 

et poste le rapport de tddskiller sans refaire de scan

amelise84 · Answer

Cela  a marché! Voici déjà le premier lien: http://www.cijoint.fr/cjlink.php?file=cj201103/cijKPanDOD.txt

amelise84 · Answer

et voici l'autre scan mais je l'ai refait!!!

2011/03/30 19:49:10.0154 4328	TDSS rootkit removing tool 2.4.21.0 Mar 10 2011 12:26:28
2011/03/30 19:49:11.0433 4328	================================================================================
2011/03/30 19:49:11.0433 4328	SystemInfo:
2011/03/30 19:49:11.0433 4328	
2011/03/30 19:49:11.0433 4328	OS Version: 6.1.7600 ServicePack: 0.0
2011/03/30 19:49:11.0433 4328	Product type: Workstation
2011/03/30 19:49:11.0433 4328	ComputerName: PC146
2011/03/30 19:49:11.0433 4328	UserName: amch
2011/03/30 19:49:11.0433 4328	Windows directory: C:\Windows
2011/03/30 19:49:11.0433 4328	System windows directory: C:\Windows
2011/03/30 19:49:11.0433 4328	Running under WOW64
2011/03/30 19:49:11.0433 4328	Processor architecture: Intel x64
2011/03/30 19:49:11.0433 4328	Number of processors: 4
2011/03/30 19:49:11.0433 4328	Page size: 0x1000
2011/03/30 19:49:11.0433 4328	Boot type: Normal boot
2011/03/30 19:49:11.0433 4328	================================================================================
2011/03/30 19:49:11.0730 4328	Initialize success
2011/03/30 19:49:16.0285 3272	================================================================================
2011/03/30 19:49:16.0285 3272	Scan started
2011/03/30 19:49:16.0285 3272	Mode: Manual; 
2011/03/30 19:49:16.0285 3272	================================================================================
2011/03/30 19:49:20.0996 3272	================================================================================
2011/03/30 19:49:20.0996 3272	Scan finished
2011/03/30 19:49:20.0996 3272	================================================================================
2011/03/30 19:49:36.0050 0388	================================================================================
2011/03/30 19:49:36.0050 0388	Scan started
2011/03/30 19:49:36.0050 0388	Mode: Manual; 
2011/03/30 19:49:36.0050 0388	================================================================================
2011/03/30 19:49:39.0778 0388	================================================================================
2011/03/30 19:49:39.0778 0388	Scan finished
2011/03/30 19:49:39.0778 0388	================================================================================

moment de grace · Answer

ok

on commence ainsi

1)

    * Télécharge RstHosts ( d'Xplode ) sur ton bureau.

http://www.teamxscript.org/too/Xplode/RstHosts.exe

    * Lance le et appuie sur Restaurer.
    * Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.
    * Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\RstHosts.txt )

_________

2)

Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
 
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen rapide 
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur  Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. Rends toi dans l'onglet rapport/log 
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous 
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller 


Si tu as besoin d'aide regarde ces tutoriels : 
 Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

___________

3)

Fais un nouveau rapport ZHPdiag stp

Rend toi sur http://pjjoint.malekal.com/

Clique sur "Parcourir " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message

amelise84 · Answer

Rapport RstHosts v1.5 - 30/03/2011 à 20:32
Mis à jour le 30/11/10 à 19h30 par Xplode
Système d'exploitation : Windows 7 Professional (64 bits) [version 6.1.7600] 
Nom d'utilisateur : amch - PC146 (Administrateur)
Exécuté depuis : C:\Users\amch\Desktop\RstHosts.exe
Option : [Restaurer]

++++++++++ [[Restauration du fichier hosts]] ++++++++++ 

-> Suppression... OK !
-> BackUp sauvegardé sous C:\RstHostsBkp.bak ... OK !
-> Copie du fichier hosts sain vers C:\Windows\system32\drivers\etc\hosts ... OK !

-> Fichier Hosts restauré avec succès !

++++++++++ [[Propriétés du fichier hosts]] ++++++++++ 

Emplacement : C:\Windows\system32\drivers\etc\hosts
Attribut(s) : RASH
Taille : 89 octets
Date de création : 14/07/2009 - 10:34
Date de modification : 21/11/2010 - 21:59
Date de dernier accès : 30/03/2011 - 20:32

++++++++++ [[Contenu du fichier hosts ( Avant restauration )]] ++++++++++ 

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Ceci est un exemple de fichier HOSTS utilisé par Microsoft TCP/IP
# pour Windows.
#
# Ce fichier contient les correspondances des adresses IP aux noms d'hôtes.
# Chaque entrée doit être sur une ligne propre. L'adresse IP doit être placée
# dans la première colonne, suivie par le nom d'hôte correspondant. L'adresse
# IP et le nom d'hôte doivent être séparés par au moins un espace.
#
# De plus, des commentaires (tels que celui-ci) peuvent être insérés sur des
# lignes propres ou après le nom d'ordinateur. Ils sont indiqué par le
# symbole '#'.
#
# Par exemple :
#
#      102.54.94.97     rhino.acme.com          # serveur source
#       38.25.63.10     x.acme.com              # hôte client x

127.0.0.1       localhost
192.9.200.240   rhodan
192.9.200.241   nt_rhodan	
192.9.200.242      equatis    equatis
#192.9.200.242      equatis    equatis
192.9.200.243   TX150


++++++++++ [[Contenu du fichier hosts ( Après restauration )]] ++++++++++ 

# Fichier Hosts créé par RstHosts

127.0.0.1       localhost
::1             localhost

########## EOF - "C:\RstHosts.txt" - [2147 octets] ##########

moment de grace · Answer

vu

=> MalwareByte's Anti-Malware

amelise84 · Answer

Voici le scan  MalwareByte's Anti-Malware:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6215

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

30/03/2011 21:38:32
mbam-log-2011-03-30 (21-38-32).txt

Type d'examen: Examen complet (C:\|D:\|E:\|G:\|)
Elément(s) analysé(s): 289250
Temps écoulé: 27 minute(s), 6 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

moment de grace · Answer

vu

=> nouveau ZHP

amelise84 · Answer

Voici le lien vers le nouveau rapport ZHPdiag! Merci beaucoup!

https://pjjoint.malekal.com/files.php?id=d110d6bb52875

moment de grace · Answer

ok

1)

IMPORTANT

deux antivirus et donc 1 de trop, conflit entre eux

ou supprimer antivir
ou avast
https://www.commentcamarche.net/telecharger/securite/22859-utilitaire-de-desinstallation-de-avast/

________

2)

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier : 


C:\IngresII\ingres\vdba\ivm.exe 
C:\Windows\SysNative\SogouPY.ime

Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 


Copie le lien de Virus Total dans ta réponse.(l'url de la page des résultats)

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers : 

Pour cela : 
Clique sur démarrer/panneau de configuration/option des dossiers/affichage 

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décocher masquer les extensions dont le type est connu 

Puis fais «appliquer» pour valider les changements. 

Et OK

amelise84 · Answer

Merci pour votre aide! 

Quand vous dites, "Clique sur parcourir et cherche ce fichier" : 


C:\IngresII\ingres\vdba\ivm.exe 
C:\Windows\SysNative\SogouPY.ime 
 
J'ai trouvé le premier mais ce sont deux fichiers ou un?

amelise84 · Answer

Voilà le lien de la page Virus Total

http://www.virustotal.com/...

moment de grace · Answer

hello

deux fichier differents

inscris toi sur CCM pour que tes liens soient actifs

amelise84 · Answer

Je n'arrive pas à trouver ce fichier:
C:\Windows\SysNative\SogouPY.ime

moment de grace · Answer

ok

oublie le deuxième et refais le premier et
inscris toi sur CCM pour que tes liens soient actifs

amelise84 · Answer

Je suis sur le site de CCM mais je ne sais pas si je suis bien inscrite

Voici le 2ème test:
http://www.virustotal.com/...

amelise84 · Answer

Voilà j'ai réussi! Je suis vraiment pas douée!http://www.virustotal.com/file-scan/report.html?id=8f550939a7555e81d438d811160db9a337d48a3d0fb6ad619d393283fe2fa732-1301569394

moment de grace · Answer

il n'a que ceux qui font rien qui ne se trompent pas...

(sourire)

1)

Copie  tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

O44 - LFC:[MD5.B3C32D73D72FAA0F92E8A491228CA208] - 12/03/2011 - 11:18:00 ---A- . (.Sogou.com Inc. - ???????.) -- C:\Windows\SysNative\SogouPY.ime   [4306800]    => 
O44 - LFC:[MD5.B3C32D73D72FAA0F92E8A491228CA208] - 12/03/2011 - 11:18:00 ---A- . (.Sogou.com Inc. - ???????.) -- C:\Windows\System32\SogouPy.ime   [2532720]  

Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert ,

- Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse



le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport 

_________

2)

redemarre le pc et dis moi si tu as encore des soucis

amelise84 · Answer

Voici le ZHPFixReport! Et vraiment je vous remercie beaucoup!

Rapport de ZHPFix 1.12.3268 par Nicolas Coolman, Update du 29/03/2011
Fichier d'export Registre : 
Run by amch at 01/04/2011 12:03:34
Windows 7 Business Edition, 64-bit  (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Fichier(s) ==========
c:\windows\sysnative\sogoupy.ime  => Supprimé et mis en quarantaine
c:\windows\system32\sogoupy.ime  => Supprimé et mis en quarantaine


========== Récapitulatif ==========
2 : Fichier(s)


End of the scan

moment de grace · Answer

redemarre le pc et dis moi si tu as encore des soucis

amelise84 · Answer

Je crois que c'est bon! Pour l'instant, mon ordi ne s'éteient plus tout seul! 
Merci beaucoup. C'est vraiment très très sympa d'aider une néophyte en informatique!

moment de grace · Answer

bien...

pour finir


1)

Mettre à jour Seven

Par internet explorer

http://www.windowsupdate.com/windowsupdate/v6/default.aspx
....................

2)
IMPORTANT

Purger les points de restauration système:

Télécharge OneClick2RestorePoint

http://www.multifa7.be/Laddy/OneClick2RP.exe (merci à elle)

Mirroirs si non accessible :
http://batchdhelus.open-web.fr/Laddy/OneClick2RP.exe
https://app.box.com/s/cqcsz5m0oz

*	Double clic sur OneClick2RP pour l'exécuter (Clic-droit choisir Executer en tant qu'administrateur sous Vista/Seven)
*	Clic sur le bouton "Purger", l'outil de nettoyage de windows va s'ouvrir
*	Choisis ton disque dur principal en général (C:\) ... Patiente pendant le scan...
*	* Rends toi dans l'onglet "Autres options"
*	Dans la zone restauration système, clic sur le bouton nettoyer puis sur le bouton Supprimer.
*	Les points de restauration système seront purgés sauf le dernier créé.

Ensuite avec le même outil
Créer un nouveau point de restauration reconnaissable
.................

3)
pour supprimer les outils de désinfection : 

télécharge Delfix de Xplode

http://www.teamxscript.org/too/Xplode/DelFix.exe


choisis SUPPRESSION 

poste son rapport
.............................................

Recommandations pour l'avenir

Tu es la meilleure protection pour ton pc que tout autre antivirus, si tu admets un minimum de rigueur dans son utilisation...Les virus sont vigilants et pénètrent ta machine par toutes les portes que tu laisseras ouvertes...
-	logiciels non à jour (windows, internet explorer, java, adobe reader etc)
-	installation de toolbar
-	fréquentation de sites piégés
-	P2P
-	Application de cracks
-	Supports usb

Pour t'aider dans cette tâche, voici quelques pistes

 Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur firefox
http://www.mozilla-europe.org/fr/firefox/

 Une fois que c'est fait, lances le et installe l'extension de sécurité adblock plus 
pour bloquer les publicités
https://addons.mozilla.org/fr/firefox/addon/adblock-plus/


............................

WOT - Extension pour ton navigateur internet : 
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC : 
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/ 
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp 

........................

Pour éviter une infection toolbar, il faut tout lire attentivement lorsque tu installes un programme gratuit, et décocher tous les programmes additionnels qui sont proposés, en particulier les barres d'outils !

..........................

Vaccines tes disques amovibles à l'aide de USBFix (de Chiquitine29 et C_XX) 
http://www.teamxscript.org/too/UsbFix.exe
Au menu principal, choisis l'option 3 (Vaccination).
............................

garder Malwarebytes et faire un examen de temps en temps ton PC, avec mise à jour avant chaque scan
.......................

Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
 https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

* Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse 

..........................

Pour vérifier régulièrement que tous tes programmes sont bien à jour, tu peux utiliser Sécunia
https://www.donnemoilinfo.com/sujet/Securiser/secunia-personal-inspector.php

.........................

utilitaire pour défragmenter , utilises pour ce faire Defraggler https://www.clubic.com/telecharger-fiche44314-defraggler.html

........................
A lire pour mieux comprendre l'environnement qui t'entoure
http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html
https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf

http://www.libellules.ch/...

https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite

amelise84 · Answer

Voici le dernier rapport!
# DelFix v7.6 - Rapport créé le 02/04/2011 à 14:03
# Mis à jour le 31/03/11 à 16h par Xplode
# Système d'exploitation : Windows 7 Professional (64 bits) [version 6.1.7600] 
# Nom d'utilisateur : amch - PC146 (Administrateur)
# Exécuté depuis : C:\Users\amch\Desktop\DelFix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:	dsskiller
Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\TDSSKiller.2.4.21.0_30.03.2011_18.42.03_log.txt
Supprimé : C:\TDSSKiller.2.4.21.0_30.03.2011_19.49.10_log.txt
Supprimé : C:\RstHosts.txt
Supprimé : C:\RstHostsBkp.bak
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Users\amch\Desktop\ZHPDiag.txt
Supprimé : C:\Users\amch\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\amch\Desktop\OneClick2RP.exe
Supprimé : C:\Users\amch\Desktop\RstHosts.exe
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\amch\Downloads\ZHPDiag2(1).exe
Supprimé : C:\Users\amch\Downloads\ZHPDiag2.exe

moment de grace · Answer

# Système d'exploitation : Windows 7 Professional (64 bits) [version 6.1.7600] 

ne me semble pas à jour !

à mon niveau

c'est tout bon

sauf soucis

=> résolu

bonne continuation...

Se débarasser de TR/Dropper.Gen sur Windows 7

28 réponses

Newsletters