Virus Trojan.win32 Généric à supprimer

jli56 Messages postés 7 Statut Membre -  
afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

J'ai un problème sur mon ordi, Kaspersky trouve un virus nommé Trojan.win32 Généric mais n'arrive pas à le supprimer. J'ai fait un scan avec RSIT voici les 2 rapports, est-ce que quelqu'un peu m'indiquer la démarche à suivre pour supprimer le virus ?

Merci d'avance

Vous pouvez trouver les 2 rapports sur le lien suivant:

http://www.cijoint.fr/cjlink.php?file=cj201104/cij28sD4tJ.docx

7 réponses

  1. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Hello Marie, ;)

    @jli56

    RSIT illisible (XML) ==> laisser tomber pour le moment.
    Suivre comme ceci:

    Télécharger ZHPDiag (de Nicolas Coolman) .
    Dérouler la page et cliquer sur [Télécharger] (le bouton radio inférieur).
    Une barre jaune apparaît en haut de page > cliquer sur "Cliquer ici pour afficher plus d'options..." > "Télécharger le ficher ..." > [Enregistrer] (accepter l'alerte éventuelle de l'antivirus) > choisir le Bureau > [Enregistrer] ZHPDiag2.exe > [Exécuter] > [Exécuter] > lancer l'assistant d'installation par [Suivant].
    Ne pas oublier de cocher le bouton ratio en face de "Créer une icône sur le bureau".
    Se laisser guider lors de l'installation, ZHPDiag.exe se lancera automatiquement à la fin.

    (/!\L'outil a créé 4 icônes , dont ZHPDiag (pour lancer l'application ultérieurement) et ZHPFix (pour le traitement du rapport) sur le bureau ) . ==> la nouvelle version ne produit peut-être plus que 3 icônes --> peux-tu me le confirmer SVP ?

    /!\Utilisateur de Vista et Seven : Clic-droit sur le logo ZHPDiag > choisir [Exécuter en tant qu'Administrateur]/!\ du Bureau pour l'ouvrir.

    Cliquer sur l'icône représentant une loupe pour "Lancer le diagnostic".

    NOTES:

    - Enregistrer le rapport sur le Bureau à l'aide de l'icône représentant une "Disquette"
    - Héberger le rapport sur ce site en cliquant d'abord sur ce lien http://pjjoint.malekal.com , puis sur [Parcourir].
    Suivre le chemin du fichier rapport à poster, lequel vient d'être enregistré sur le bureau. Une fois le fichier repéré, le sélectionner, et cliquer sur [Ouvrir] > le fichier se retrouve ainsi dans la zone de saisie en face du bouton radio [Parcourir] > valider en cliquant sur le bouton radio [Envoyer le Fichier] situé au bas de la page > patienter.
    Un lien sera généré et affiché (ne pas hésiter à se servir de la souris pour visiter la page).
    Il suffit de poster ce lien dans la prochaine réponse sur le forum en cours afin que nous puissions l'analyser.

    Merci
    Al.
    Patience-Vigilance-Amour.
    0
    1. jli56
       
      Salut,

      Je n'ai plus le triangle jaune de Kaspesky, mais j'ai un écran noir au démarrage de l'ordinateur pendant un long moment et parfois il faut que j'éteigne et que je le rallume.

      J'ai fait la manipe avec ZHPDiag, voici le rapport.

      http://pjjoint.malekal.com/files.php?id=39c103a8b41258

      Merci pour ton aide.
      0
    2. jli56
       
      Au fait l'outil à créé 3 icônes:
      - ZHPDiag
      - ZHPFix
      - MBRCheck

      + le rapport ZHPDiag

      Veux-tu le rapport de MBRCheck ?
      0
    3. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
       
      La 4ème icône serait ZHPDiag2.exe ?
      0
  2. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Bonjour,

    Un petite infection LOP
    Ce qu'il faut faire à partir de ZHPFix.exe qui est sur le bureau (merci)

    Avec la souris, sélectionner toutes ces lignes en italique gras ci-dessous, en vrac;
    puis les "copier" (ces lignes sont maintenant "dans la souris = le presse-papier")

    EmptyTemp
    SysRestore
    FirewallRAZ
    O43 - CFD: 06/02/2011 - 17:35:00 - [0] ----D- C:\Documents and Settings\All Users\Application Data\espionServerData => Infection LOP (Lop.Adw)
    O51 - MPSK:{a09ac192-0831-11e0-aec1-806d6172696f}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- D:\AutoRun\Demo.exe (.not file.) => Fichier absent
    O52 - TDSD: \drivers.desc\ir50_32.dll=Indeo® video 5.10 . (.Pas de propriétaire - Pas de description.) -- (.not file.) => Fichier absent
    [HKLM\Software\5e3]
    EmptyFlash
    MBRFix
    HiddenFix


    Lancer ZHPFix à partir du raccourci sur le bureau .

    - Cliquer sur l'icône représentant la lettre bleue H, cela collera les lignes qui sont en mémoire dans le presse-papier.
    Vérifier que toutes les lignes prescrites de copier (et seulement elles) sont dans la fenêtre.
    * Cliquer sur GO.

    [*] Accepte la désinstallation des programmes si proposé, mais refuse le redémarrage de ton pc si également proposé, car cela stopperait ZHPFix.
    [*] Ton navigateur risque de s'ouvrir pendant la désinstallation des toolbars, pas de panique c'est normal, ferme les fenêtres tout simplement.

    Le rapport de l'application va apparaître dans la fenêtre.
    * Copier/coller la totalité du rapport dans la prochaine réponse.( [CTRL+A] pour tout sélectionner, [CTRL+C] pour copier et [CTRL+V] pour coller )

    Arrêter puis redémarrer le PC.

    Relancer ensuite une analyse avec ZHPDiag comme précédemment, et poster le rapport.

    Merci
    Al.
    Patience-Vigilance-Amour.
    0
  3. jli56 Messages postés 7 Statut Membre
     
    Bonjour

    Je n'ai pas eu de proposition pour une désinstallation de programme ou pour redémarrer l'ordi.

    Merci beaucoup

    JL

    Voici l'adresse pour le rapport ZHPDiag :

    https://pjjoint.malekal.com/files.php?id=04cfb8147a8612

    Voici le rapport ZHPFix :

    Rapport de ZHPFix 1.12.3275 par Nicolas Coolman, Update du 11/04/2011
    Fichier d'export Registre : C:\ZHPExportRegistry-14-04-2011-16-39-13.txt
    Run by Jean Luc at 14/04/2011 16:39:13
    Windows XP Professional Service Pack 3 (Build 2600)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

    ========== Clé(s) du Registre ==========
    O51 - MPSK:{a09ac192-0831-11e0-aec1-806d6172696f}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- D:\AutoRun\Demo.exe (.not file.) => Clé supprimée avec succès
    HKLM\Software\5e3 => Clé supprimée avec succès

    ========== Valeur(s) du Registre ==========
    FirewallRaz : Aucune valeur présente dans la clé d'exception du registre
    O52 - TDSD: \drivers.desc\ir50_32.dll=Indeo® video 5.10 . (.Pas de propriétaire - Pas de description.) -- (.not file.) => Valeur absente

    ========== Dossier(s) ==========
    Dossiers Flash Cookies supprimés : 19

    ========== Fichier(s) ==========
    Fichiers Flash Cookies supprimés : 11

    ========== Master Boot Record ==========
    Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
    Windows 5.1.2600 Disk: Maxtor_6V250F0 rev.VA111900 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3

    device: opened successfully
    user: MBR read successfully

    Disk trace:
    called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys xfilt.sys ACPI.sys hal.dll atapi.sys videX32.sys PCIIDEX.SYS
    C:\WINDOWS\system32\drivers\xfilt.sys VIA Technologies,Inc VIA filter driver
    C:\WINDOWS\system32\drivers\videX32.sys VIA Technologies, Inc. VIA PCI IDE MINI Driver
    1 ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\Harddisk0\DR0[0x8A506AB8]
    3 CLASSPNP[0xB80F8FD7] -> ntkrnlpa!IofCallDriver[0x804EF1A6] -> [0x8A569ED0]
    5 xfilt[0xB8109026] -> ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\00000072[0x8A539818]
    7 ACPI[0xB7A5C620] -> ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\Ide\IdeDeviceP0T0L0-3[0x8A536D98]
    kernel: MBR read successfully
    user & kernel MBR OK

    Resultat après le fix :
    Master Boot Record non infecté

    ========== Dossiers/Fichiers cachés restaurés ==========
    Mes images (My Pictures) : 987 => Restauré(s) avec succès
    Ma musique (My Music) : 6 => Restauré(s) avec succès
    Ma Video (My Video) : 6 => Restauré(s) avec succès
    Mes Favoris (My Favorites) : 6 => Restauré(s) avec succès
    Mes Documents (My Documents) : 6 => Restauré(s) avec succès
    Mon Bureau (My Desktop) : 6 => Restauré(s) avec succès
    Menu demarrer (Programs) : 6 => Restauré(s) avec succès
    Dossier utilisateur (AppData) : 6 => Restauré(s) avec succès
    Programmes (Program Files) : 6 => Restauré(s) avec succès

    ========== Restauration Système ==========
    Point de restauration du système créé avec succès

    ========== Récapitulatif ==========
    2 : Clé(s) du Registre
    2 : Valeur(s) du Registre
    1 : Dossier(s)
    1 : Fichier(s)
    1 : Master Boot Record
    1035 : Dossiers/Fichiers cachés restaurés
    1 : Restauration Système

    End of the scan
    0
  4. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Bonsoir,
    Bien
    Merci

    Peux-tu me détailler avec quoi ton PC est protégé ?

    Al.
    0
    1. jli56 Messages postés 7 Statut Membre
       
      Bonsoir,

      Avec Kaspersky anti virus 2011 version 11.0.1.400 (a.b.c.d)

      JL
      0
    2. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
       
      Re,

      Est-il toujours bien activé ? ==> Kaspersky KAV 2011

      Je ne vois plus rien de douteux sur le PC.
      As-tu encore des soucis apparents avec le PC ?

      Tu pourras supprimer ZHPDiag comme ceci: "Poste de travail" > Disque local C:\ > "Program Files" > supprimer le dossier ZHPDiag. Ensuite, supprimer les 4 icônes sur le bureau.

      Al.
      0
    3. jli56
       
      Re,

      Oui kaspersky est toujours activé et mis à jour.

      J'ai toujours l'écran noir quand j'allume mon ordi, cette fois il a fallu que je l'éteigne 3 fois avant d'avoir l'écran correct. Il m'a mis un message sur le bureau avec Desktop bloc-notes :


      [.ShellClassInfo]
      LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

      Sais-tu à quoi cela correspond ?

      JL
      0
    4. jli56
       
      Bonsoir,

      Je viens de m'y remettre et j'ai décoché "masquer les extensions des types de fichiers connus" et "masquer les fichiers protégés du système"

      après je suis allé dans "Documents et Settings\All Users\Menu Démarrer\Programmes\Démarrage" et j'ai trouvé le dossier "desktop.ini", voici sont contenu :

      [.ShellClassInfo]
      LocalizedResourceName=@shell32.dll,-21782
      [LocalizedFileNames]
      Windows Movie Maker.lnk=@C:\PROGRA~1\MOVIEM~1\wmm2res.dll,-61446

      Ce n'est pas tout à fait le même texte que celui du bloc note de démarrage et il y a du texte en plus.

      J'hésite donc à le supprimer

      Qu'en penses-tu ?

      JL
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Bonjour
    Merci pour ta réponse
    En réponse à ta question ==> https://docs.microsoft.com/en-us/windows/client-management/generate-kernel-or-complete-crash-dump
    Donne des nouvelles
    Merci
    Bonne journée
    Al.
    0
    1. jli56
       
      bONSOIR

      Je suis pas un pro des résolutions !!!!

      J'ai essayé avec aide automatique pour résoudre le problème mais rien n'a changé.

      Quand à la procédure, c'est une traduction et je suis pas sûr de tout comprendre, faut-il cocher ou décocher les 2 paramètres avancés, ou se trouve les dossiers "document and settings et que faut-il faire après ?

      Merci pour ton aide

      Voici la procédure:

      Je résous le problème moi-même
      Retour au début
      Méthode 1: Supprimez le fichier Desktop.ini

      Démarrez l'Explorateur Windows.
      Sur leOutilsmenu, cliquez surDossier Options, puis cliquez sur leAffichageonglet.
      Dans laParamètres avancészone, cliquez sur Désactivez leMasquer les extensions des types de fichiers connuscase à cocher et leMasquer les fichiers protégés du système d'exploitationcase à cocher (si elles sont pas déjà), puis cliquez surOK.
      Supprimez les occurrences de la Desktop.ini fichier contient les lignes décrites plus haut dans la section « Symptômes » de cet article. Pour ce faire :
      Localisez chacun des dossiers suivants, cliquez sur leDesktop.ini(si le fichier existe dans ce dossier) du fichier, puis Cliquez surOuvrir:
      lecteur: \Documents et Settings\All Users\Menu Démarrer\Programmes\Démarrage
      lecteur: \Documents et Settings\All Users\Menu Démarrer\Programmes
      lecteur: \Documents et Settings\All Users\Menu Démarrer
      oùlecteurest le lecteur sur lequel Windows est installé.
      Vérifiez que le fichier contienne les lignes suivantes :

      [.ShellClassInfo]
      LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

      Si le fichier contient ces lignes, cliquez droit sur le fichier, cliquez surSupprimer, puis cliquez surOuiLorsque vous êtes vous êtes invité à confirmer la suppression.
      Redémarrez votre ordinateur et vérifiez que le problème est résolu.


      JL
      0
  7. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Re,

    J'ai un peu perdu le fil de ma réflexion à ce sujet.

    Mais oui, je sais à quoi cela est dû.
    Cela est dû au fait qu'il faut remettre les paramètres par défaut pour ne plus afficher les "Fichiers cachés".
    Et c'est effectivement gênant de recevoir ces alertes sur le bureau au démarrage PC; mais ce n'est pas une infection ( c'est déjà ça ! ).

    C'est pourquoi je ne comprends pas pourquoi tu écris ceci : « Je viens de m'y remettre et j'ai décoché "masquer les extensions des types de fichiers connus" et "masquer les fichiers protégés du système" »
    ==> en effet, "décocher la case devant masquer" signifie que les extensions des fichiers ne sont plus masquées; or c'est tout le contraire qu'il faut faire ==> il faut "cocher" le bouton ratio pour "masquer" les extensions.
    ==> en effet, il faut surtout "décocher" la case devant "Afficher les fichiers cachés" --> pour ne plus les afficher.

    Un topic intéressant ici http://www.vista-xp.fr/forum/topic3666.html (en français)

    Et ceci pour aider à atteindre les paramètres "fichiers cachés":
    Pour XP, c'est comme ceci:
    Pour ne plus afficher les fichiers cachés (http://www.d2i.ch/pn/az/t.html)
    - Soit en faisant : Ouvrir un dossier, n'importe lequel. Aller dans "Outils" >"Options des dossiers" > "Affichage"
    - Soit en faisant « Démarrer »/ »PanneauConfiguration/OptionsDossiers /onglet « Affichage »
    Et là :
    - Décocher la case devant les lignes:
    -- afficher les fichiers et dossier cachés
    -- afficher contenu dossier système
    - Cocher la case devant les lignes:
    -- masquer les extensions des fichiers dont le type est connu
    -- masquer les fichiers protégés du système d'exploitation
    Puis cliquer [APPLIQUER à TOUS les Dossiers] > [OK]
    Si tu n'es pas à l'aise dans la navigation des dossiers, je t'invite à suivre ce tutorial : < http://www.malekal.com/rechercher_fichiers.php >

    Encore ici http://forums.cnet.com/7723-6122_102-361021.html

    Donne des nouvelles.

    Bonne nuit.
    Al
    Patience-Vigilance-Amour.
    0
    1. jli56
       
      Bonsoir,

      Cette fois je crois que c'est gagné, j'ai supprimé les dossiers "Desktop.ini" qui contenaient le même message que celui qui apparaissait au démarrage sur

      C/documents and setting/invité/menu démarrer/programmes/démarrage
      C/documents and setting/Défaut user/menu démarrer/programmes/démarrage
      C/documents and setting/JeanLuc/menu démarrer/programmes/démarrage

      En suivant la procédure du lien http://support.microsoft.com/kb/330132/fr que tu m'as recommandé et le problème à disparu.

      Je te remercie et te suis très reconnaissant pour ton aide.

      Amicalement

      Jean-Luc (de Bretagne)
      0
    2. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
       
      Encore un breton !
      Deux raisons d'être content et satisfait de l'aide apportée.
      Supprime ZHPdiag et ses composants (en Program Files pour XP)
      Albert
      0
  8. FyKdef
     
    Yep ,

    Juste pour dire "Hello" à Albert :):):)

    Cédric
    0
    1. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
       
      Oh!
      Quel plaisir de te lire.

      Oui, je me distrais un peu sur CCM; toujours pour apprendre bien évidemment.

      Je viens de tomber sur deux topics qui se terminent par l'apparition de "Desktop.ini" sur le bureau ==> celui-ci et celui-là.

      Ce qui est bizarre, c'est que chez moi, je n'ai pas l'apparition de ces "Desktop.ini" au démarrage PC (ni autrement, non plus); alors que j'ai toujours affiché les "Fichiers cachés".

      D'où cela peut-il bien provenir ?

      Bonne journée à toi.
      Très amicalement et avec tout mon respect.
      Albert (Wallon & fier de l'être!)
      0