Probléme heur: trojan.script.generic [Résolu/Fermé]

Signaler
Messages postés
39
Date d'inscription
mardi 7 juin 2011
Statut
Membre
Dernière intervention
14 janvier 2012
-
 g3n-h@ckm@n -
Bonsoir,
j'ai un petit probléme méme un gros ^^
avec kaspesky 2011 internet sécurity, alors voila je les installer dimanche
avant j'avais eset nod32 avec comodo et le probléme ses que depuis dimanche
il ma détecter plus de 30 virus, 10 cheval de troie, 15 application indésirable
mais le probléme ses que je suis a tout les jours 10 virus découvert !

l'analyse se déroule parfaitement aucun probléme il ne détecte rien
mais quand je vais dans rapport en haut il trouve des virus
mais celui qui revien le plus ses:

heur: trojan.script.generic

qui et dans le répertoir:

c://programfiles/rapid7/framework/.....

les virus sont toujours dans se répertoir ! ses dingue pourtant je l'analyse
avec spybot et kis2011 mes rien a faire il détecte rien mais
dans rapport et tout il y en a plain découvert dans ce dossier =/
et toujour au méme emplacement enfain ses vraiment louche --'
en plus vu le prix de la version pas étre tranquille ses vraiment énervant
en attente de votre aide merci d'avance =)

45 réponses


poste le rapport de malwarebytes apres suppression le dernier en date dans l'onglet rapport/logs
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 90857 internautes nous ont dit merci ce mois-ci

Messages postés
39
Date d'inscription
mardi 7 juin 2011
Statut
Membre
Dernière intervention
14 janvier 2012
1
vooila l'analyse a durée longtemp et moi j'ai fait dodo ^^
donc l'analyse et finit il ma retrouver des truc trojan.fakeMS voila le rapport:


Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Version de la base de données: 6808

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

08/06/2011 17:37:26
mbam-log-2011-06-08 (17-37-26).txt

Type d'examen: Examen complet (A:\|C:\|D:\|)
Elément(s) analysé(s): 188517
Temps écoulé: 1 heure(s), 37 minute(s), 42 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\system volume information\_restore{f1732224-8e48-4286-92fe-2e591d999d52}\RP172\A0073516.exe (Trojan.FakeMS) -> Quarantined and deleted successfully.
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 90857 internautes nous ont dit merci ce mois-ci


salut vire spybot il est pourri
Messages postés
39
Date d'inscription
mardi 7 juin 2011
Statut
Membre
Dernière intervention
14 janvier 2012
1
Ok et a la place tu me conseillera quoi ?
malawarebyte's a l'air pas mal a se qu'il parrait ?

ouaip

c'est quoi ce programme ?

Rapid7 ?
Messages postés
39
Date d'inscription
mardi 7 juin 2011
Statut
Membre
Dernière intervention
14 janvier 2012
1
alors j'ai installer malaware il et en train d'analyser,
il a déja trouver 3 objet et iil analyse toujours
tkt je te donner le résultat des qu'il et finit !

rapid7 je sais pas du tout sa ses installer en méme temp que
wincap4 je sais pas du tout se que sais ses bizarre en tout cas
et a chaque fois, il me trouve les virus dans

c://programfiles/rapid7/framework/...

enfain bizarre tout sa et a chaque fois que je le supprime il revien
j'ai méme supprimer le fichier rapid7 mais il revien tout le temp !

ok on va regler ca

stoppe lmalwarebytes on le fera au final


▶ Télécharge ici : Ad-remover sur ton bureau :


▶ Déconnecte toi et ferme toutes applications en cours !

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


▶ sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .

▶ clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .

▶ Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

▶ Laisse travailler l'outil et ne touche à rien ...

▶ Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

Messages postés
39
Date d'inscription
mardi 7 juin 2011
Statut
Membre
Dernière intervention
14 janvier 2012
1
Voila il y a eu déja une analyse car j'était pas chez moi et l'ordi a tourner
alors voila le rapport de malaware:

https://imageshack.com/

je fait la manip que tu ma dite et apres je poste le rapport ;) merci de ton aide !
Messages postés
39
Date d'inscription
mardi 7 juin 2011
Statut
Membre
Dernière intervention
14 janvier 2012
1
voila le rapport apres un nettoyage de ad:


======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 13:41:36 le 08/06/2011, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86)
Alexandre@CENZO ( )

============== ACTION(S) ==============


Dossier supprimé: C:\Documents and Settings\Alexandre\Local Settings\Application Data\Conduit
Dossier supprimé: C:\Documents and Settings\Alexandre\Application Data\PriceGong

(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Classes\Interface\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}
Clé supprimée: HKLM\Software\Classes\Conduit.Engine
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2504091
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2542115
Clé supprimée: HKCU\Software\PriceGong
Clé supprimée: HKCU\Software\Toolbar
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [3.6.17 (fr)] ****

Searchplugins\babylon.xml (hxxp://search.babylon.com/web/{searchTerms})
Extensions\KavAntiBanner@kaspersky.ru_bak (Anti-bannière )
Extensions\linkfilter@kaspersky.ru_bak (Analyse des liens (URL Advisor) )
HKLM_Extensions|virtualKeyboard@kaspersky.ru - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\FFExt\virtualKeyboard@kaspersky.ru
HKLM_Extensions|KavAntiBanner@Kaspersky.ru - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\FFExt\KavAntiBanner@kaspersky.ru
HKLM_Extensions|linkfilter@kaspersky.ru - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\FFExt\linkfilter@kaspersky.ru
HKCU_Extensions|mozilla_cc@internetdownloadmanager.com - C:\Documents and Settings\Alexandre\Application Data\IDM\idmmzcc3

-- C:\Documents and Settings\Alexandre\Application Data\Mozilla\FireFox\Profiles\0vul558w.default --
Extensions\alldebrid@alldebrid.com (Alldebrid)
Extensions\{9c51bd27-6ed8-4000-a2bf-36cb95c0c947} (Tamper Data)
Extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781} (Greasemonkey)
Prefs.js - browser.search.defaultenginename, Search the web (Babylon)
Prefs.js - browser.search.defaulturl, hxxp://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=17240
Prefs.js - browser.search.selectedEngine, Search the web (Babylon)
Prefs.js - browser.startup.homepage, hxxp://google.fr/
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.16
Prefs.js - keyword.URL, hxxp://search.babylon.com/?babsrc=adbartrp&AF=17240&q=

========================================

**** Internet Explorer Version [6.0.2900.5512] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_ElevationPolicy\{1902485B-CE75-42C1-BA2D-57E660793D9A} - C:\Program Files\Internet Download Manager\IEMonitor.exe (Tonec Inc.)
HKCU_ElevationPolicy\{E0DACC63-037F-46EE-AC02-E4C7B0FBFEB4} - C:\Program Files\Internet Download Manager\IDMan.exe (x)
HKLM_ElevationPolicy\${ELV_GUID} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.5\BabylonToolbarsrv.exe (x)
HKLM_ElevationPolicy\{E0DACC63-037F-46EE-AC02-E4C7B0FBFEB4} - C:\Program Files\Internet Download Manager\IDMan.exe (x)
HKLM_Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - "?" (?)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{0055C089-8582-441B-A0BF-17B458C2A3A8} - "IDM integration (IDMIEHlprObj Class)" (C:\Program Files\Internet Download Manager\IDMIECC.dll)
BHO\{bf00e119-21a3-4fd1-b178-3b8537e75c92} - "IeMonitorBho Class" (C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 28 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 08/06/2011 13:41:50 (4494 Octet(s))

Fin à: 13:43:41, 08/06/2011

============== E.O.F ==============

ah et t'as supprimé ?

poste le rapport de malwarebytes apres suppression le dernier en date dans l'onglet rapport/logs
Messages postés
39
Date d'inscription
mardi 7 juin 2011
Statut
Membre
Dernière intervention
14 janvier 2012
1
non je n'est pas encore supprimer il sont dans ma quarantaine
tu veut que je les supprime ?

@édit: j'ai supprimer tout se qui et dans ma quarantaine
et la je fait une nouvelle analyse compléte je poste le rapport dans 1h

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction courte du bureau --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

Il se peut que l'outil soit un peu long sur la reattribution des fichiers tout depend combien tu en as , laisse-le travailler

Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.
Messages postés
39
Date d'inscription
mardi 7 juin 2011
Statut
Membre
Dernière intervention
14 janvier 2012
1
voila j'ai installer pre_scan sa a analyser,
l'analyse et finit mais maintenant sa fait mon fond d'écrant mais je n'est plus d'icone ses normal il faut que j'attende ?
ps lancer a 18h et depuis sa a l'air d'étre finit mais je n'est toujour pas d'icone

faut t-il que je lance l'invit de commande et je tape explorer ?

oui tu peux je ne sais pourquoi de temps en temps suivant les....OS , ^^ , il ne relance pas explorer
Messages postés
39
Date d'inscription
mardi 7 juin 2011
Statut
Membre
Dernière intervention
14 janvier 2012
1
édit: j'ai réussi tien le lien: http://www.cijoint.fr/cjlink.php?file=cj201106/cij49QeoO1.txt

ses bizarre voila dans c:// tout se quil y a maintenant avant il y avais rien apart programme files et windows ainsi que doc and setting

https://imageshack.com/



^^ et ouais bizarre mes j'ai vue déja sur plusieur sujet ou tu a répondu
que il y en avais sa le fesais ses pour sa que j'ai pas paniquer ^^

fais glisser une icone n'importe laqueele sur Pre_scan , pre_script va apparaitre

selectionne ce texte sans les lignes :
___________________________________________________
folder::
C:\Documents and Settings\Alexandre\Application Data\go
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

___________________________________________________

copie-le (ctrl+c) puis lance Pre_Script qui est sur ton bureau

colle dans le document texte qui s'ouvre , puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

poste Pre_Script.txt qui apparaitra à coté de l'executable en fin de travail
Messages postés
39
Date d'inscription
mardi 7 juin 2011
Statut
Membre
Dernière intervention
14 janvier 2012
1
Voila ses fait !


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

Utilisateur : Alexandre (Administrateurs)
Ordinateur : CENZO
Système d'exploitation : Microsoft Windows XP (32 bits)
Internet Explorer : 6.0.2900.5512
Mozilla Firefox : 3.6.17 (fr)

Switchs possibles :

processes:: | file:: | folder::
Registry:: | replace:: | txt::
Host:: | DNS:: | NsLook::
Command::

Script : 23:16:45

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

switchs :

folder::
c:\documents and settings\alexandre\application data\go
c:\documents and settings\all Users\application data\spybot-search & destroy


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Supprimé : c:\documents and settings\alexandre\application data\go
Dossier : c:\documents and settings\all Users\application data\spybot-search & destroy introuvable

¤

Fin : 23:16:48

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

▶ Télécharge ZHPDiag (de Nicolas Coolman)

ou :ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,

▶ lance ZHPDiag.exe et clique sur Unzip dans la fenêtre qui s'ouvre.

▶ Clique sur le tournevis puis sur Tous pour cocher toutes les cases des options.

▶ Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse,

▶ clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\.ZHPDiag.txt

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.
Messages postés
39
Date d'inscription
mardi 7 juin 2011
Statut
Membre
Dernière intervention
14 janvier 2012
1
je lance sa de suite ;)
mais il ne trouve plus rien avec malware !!

c'est utile