Trojan Generic
Kaneda77
Messages postés
9
Statut
Membre
-
kalimusic Messages postés 14619 Statut Contributeur sécurité -
kalimusic Messages postés 14619 Statut Contributeur sécurité -
Bonjour,
Je viens vers vous car j'ai depuis quelques jours un souci de Trojan sur mon PC.
Bitdefender détecte ceci : Trojan.Generic.7552368
mais ne parvient pas à régler le problème.
si je comprends bien le rapport d'analyse, il y a quelque chose qui ne va pas ici "C:\\Windows\assembly\GAC_32\Desktop.ini"
A chaque fois que j'allume mon PC, les icones de mon bureau ne sont plus rangées comme je l'avais fait moi-même.
C'est pour le moment la seule chose que j'ai remarqué, mais je crains d'avoir plus de problèmes si j'attends plus longtemps.
Qu'en pensez-vous ?
Par avance merci pour votre aide.
Kaneda
Je viens vers vous car j'ai depuis quelques jours un souci de Trojan sur mon PC.
Bitdefender détecte ceci : Trojan.Generic.7552368
mais ne parvient pas à régler le problème.
si je comprends bien le rapport d'analyse, il y a quelque chose qui ne va pas ici "C:\\Windows\assembly\GAC_32\Desktop.ini"
A chaque fois que j'allume mon PC, les icones de mon bureau ne sont plus rangées comme je l'avais fait moi-même.
C'est pour le moment la seule chose que j'ai remarqué, mais je crains d'avoir plus de problèmes si j'attends plus longtemps.
Qu'en pensez-vous ?
Par avance merci pour votre aide.
Kaneda
A voir également:
- Trojan Generic
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Trojan al11 ✓ - Forum Virus
- Trojan b901 system32 win config 34 ✓ - Forum Virus
- Idp generic - Forum Virus
- Trojan impossible à supprimer! ✓ - Forum Virus
17 réponses
Bonjour,
Tu es infecté par le dernière variante du trojan Sirefef/ZeroAccess
== == == == == == == == == == == == == == == == == == == == == ==
Sauvegarde tes documents les plus importants.
== == == == == == == == == == == == == == == == == == == == == ==
1. Télécharge ComboFix de sUBs.
TRÈS IMPORTANT : Enregistre ComboFix.exe sur le Bureau.
IMPORTANT : Ferme toutes tes applications en cours et désactive temporairement les programmes de protection (Antivirus, Antispywares, etc...).
Ils pourraient interférer avec l'outil, un clic droit sur l'icône du programme prés de l'heure permet généralement de le faire, sinon se reporter ici : http://assiste.forum.free.fr/viewtopic.php?t=27097
Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermées.
● Lance ComboFix
● Accepte la licence d'utilisation et laisse toi guider par le programme.
● Accepte d'installer la console de récupération (sous XP)
● A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément.
Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt
Notes :
▸ Ne rien faire et ne rien toucher pendant le travail de l'outil, risque de plantage complet de l'ordinateur.
▸ Ne pas relancer Combofix, si l'outil ne fonctionne pas, revenir sur le forum pour de nouvelles instructions.
▸ Si après le redémarrage, ComboFix indique des erreurs au sujet d'éléments à supprimer, redémarrer à nouveau le système.
Aide : Comment utiliser ComboFix
2. Héberge le rapport sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/
https://textup.fr/
Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.
A +
Tu es infecté par le dernière variante du trojan Sirefef/ZeroAccess
== == == == == == == == == == == == == == == == == == == == == ==
Sauvegarde tes documents les plus importants.
== == == == == == == == == == == == == == == == == == == == == ==
1. Télécharge ComboFix de sUBs.
TRÈS IMPORTANT : Enregistre ComboFix.exe sur le Bureau.
IMPORTANT : Ferme toutes tes applications en cours et désactive temporairement les programmes de protection (Antivirus, Antispywares, etc...).
Ils pourraient interférer avec l'outil, un clic droit sur l'icône du programme prés de l'heure permet généralement de le faire, sinon se reporter ici : http://assiste.forum.free.fr/viewtopic.php?t=27097
Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermées.
● Lance ComboFix
● Accepte la licence d'utilisation et laisse toi guider par le programme.
● Accepte d'installer la console de récupération (sous XP)
● A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément.
Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt
Notes :
▸ Ne rien faire et ne rien toucher pendant le travail de l'outil, risque de plantage complet de l'ordinateur.
▸ Ne pas relancer Combofix, si l'outil ne fonctionne pas, revenir sur le forum pour de nouvelles instructions.
▸ Si après le redémarrage, ComboFix indique des erreurs au sujet d'éléments à supprimer, redémarrer à nouveau le système.
Aide : Comment utiliser ComboFix
2. Héberge le rapport sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/
https://textup.fr/
Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.
A +
Bonjour
-Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.
https://support.kaspersky.com/downloads/utils/tdsskiller.zip
* Lance TDSSKiller.exe
-Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* Clique sur Start scan.
* Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
* Conserve l'action proposée par défaut par l'outil
- Si TDSS.tdl2 : l'option Delete sera cochée.
- Si TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure soit bien cochée.
- Si "Suspicious object" laisse l'option cochée sur Skip
- Si Rootkit.Win32.ZAccess.* est détecté règle sur cure en haut , et delete en bas
* Clique sur Continue puis sur Reboot now si le redémarrage est proposé.
* Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt
-Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.
https://support.kaspersky.com/downloads/utils/tdsskiller.zip
* Lance TDSSKiller.exe
-Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* Clique sur Start scan.
* Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
* Conserve l'action proposée par défaut par l'outil
- Si TDSS.tdl2 : l'option Delete sera cochée.
- Si TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure soit bien cochée.
- Si "Suspicious object" laisse l'option cochée sur Skip
- Si Rootkit.Win32.ZAccess.* est détecté règle sur cure en haut , et delete en bas
* Clique sur Continue puis sur Reboot now si le redémarrage est proposé.
* Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt
Merci pour vos réponses.
Pour l'instant je n'ai rien fait, je sauvegarde ce qui doit l'être.
Je reviendrai certainement vers vous dès demain pour la suite des évènements.
Pour l'instant je n'ai rien fait, je sauvegarde ce qui doit l'être.
Je reviendrai certainement vers vous dès demain pour la suite des évènements.
Bonjour,
ne sachant quelle méthode choisir, j'ai appliqué combofix comme kalimusic me l'a conseillé.
Dois-je poster le lien qui te permettra d'accéder au rapport combofix ici kalimusic ?
ne sachant quelle méthode choisir, j'ai appliqué combofix comme kalimusic me l'a conseillé.
Dois-je poster le lien qui te permettra d'accéder au rapport combofix ici kalimusic ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour,
Oui, il me faut le rapport de ComboFix.
Suivant le résultat, d'autres actions complémentaires seront nécessaires.
A +
Oui, il me faut le rapport de ComboFix.
Suivant le résultat, d'autres actions complémentaires seront nécessaires.
A +
re,
Pas ou plus de trace de l'infection, regardons pourquoi avec cet outil de diagnostic :
Télécharge OTL (de OldTimer) sur ton Bureau.
Ferme toutes tes applications en cours
● Lance OTL.exe, l'interface principale s'ouvre.
● Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
● Coche la case Tous les utilisateurs
● Laisse tous les autres paramètres par défaut
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● 2 rapports vont s'ouvrir au format bloc-note :
▸ ▸ OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
● Ne les poste pas sur le forum, ils seraient trop long
● Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/
https://textup.fr/
● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.
Aide : Tutorial OTL (par Malekal)
A +
Pas ou plus de trace de l'infection, regardons pourquoi avec cet outil de diagnostic :
Télécharge OTL (de OldTimer) sur ton Bureau.
Ferme toutes tes applications en cours
● Lance OTL.exe, l'interface principale s'ouvre.
● Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
● Coche la case Tous les utilisateurs
● Laisse tous les autres paramètres par défaut
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :
/md5start services.exe wshelper.dll /md5stop %SYSTEMROOT%\assembly\GAC_32\*.ini /s %SYSTEMROOT%\assembly\GAC_64\*.ini /s %ALLUSERSPROFILE%\Application Data\*.exe /s %ALLUSERSPROFILE%\Application Data\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe CREATERESTOREPOINT
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● 2 rapports vont s'ouvrir au format bloc-note :
▸ ▸ OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
● Ne les poste pas sur le forum, ils seraient trop long
● Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/
https://textup.fr/
● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.
Aide : Tutorial OTL (par Malekal)
A +
Bonsoir,
Je viens de faire le scan avec OTL, voici les liens pour les 2 rapports :
https://www.cjoint.com/?BGqu1gqLtNb
https://www.cjoint.com/?BGqu2GyMvZQ
Par ailleurs, le problème persiste, à chaque démarrage du PC, mon bureau est toujours réinitialisé, mes icones déplacées, et 2 fenêtres "desktop.ini" sont ouvertes.
A +
Je viens de faire le scan avec OTL, voici les liens pour les 2 rapports :
https://www.cjoint.com/?BGqu1gqLtNb
https://www.cjoint.com/?BGqu2GyMvZQ
Par ailleurs, le problème persiste, à chaque démarrage du PC, mon bureau est toujours réinitialisé, mes icones déplacées, et 2 fenêtres "desktop.ini" sont ouvertes.
A +
re,
L'infection est toujours là mais dans ton cas le fichier services.exe ne semblent pas être patché.
1. Désinstalle Spybot S&D, logiciel obsolète, inefficace et de toute façon inutile avec ton antivirus : Désactive le module Tea Timer puis désinstalle.
2. Ouvre le bloc-note et copie/colle les instructions en citation :
Sauvegarde le fichier sous le nom CFScript.txt impérativement sur ton Bureau.
!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, etc...) !!
● Fait un glissé/déposé du fichier sur l'icône de ComboFix.exe => img
● Patiente pendant le travail de l'outil et la création du rapport.
● Héberge le et poste le lien.
A +
L'infection est toujours là mais dans ton cas le fichier services.exe ne semblent pas être patché.
1. Désinstalle Spybot S&D, logiciel obsolète, inefficace et de toute façon inutile avec ton antivirus : Désactive le module Tea Timer puis désinstalle.
2. Ouvre le bloc-note et copie/colle les instructions en citation :
KillAll::
ClearJavaCache::
Folder::
C:\Users\emeraude\AppData\Local\{e862686b-5761-193d-eac0-172d8b5f4702}
c:\windows\Installer\{e862686b-5761-193d-eac0-172d8b5f4702}
Sauvegarde le fichier sous le nom CFScript.txt impérativement sur ton Bureau.
!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, etc...) !!
● Fait un glissé/déposé du fichier sur l'icône de ComboFix.exe => img
● Patiente pendant le travail de l'outil et la création du rapport.
● Héberge le et poste le lien.
A +
Je pense que j'ai tout fait comme indiqué.
Quand le PC a redémarré 2 bloc note identiques se sont à nouveau ouvert.
Le message des ces messages est le suivant :
"[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787"
Sinon, voila le lien du nouveau rapport combofix :
https://www.cjoint.com/?BGraDOZWdaO
Peux tu m'expliquer pourquoi le bureau est réinitialiser à chaque fois que j'allume mon ordinateur et pourquoi ces 2 fenêtres blocs note apparaissent au démarrage ?
Par avance merci.
A+
Quand le PC a redémarré 2 bloc note identiques se sont à nouveau ouvert.
Le message des ces messages est le suivant :
"[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787"
Sinon, voila le lien du nouveau rapport combofix :
https://www.cjoint.com/?BGraDOZWdaO
Peux tu m'expliquer pourquoi le bureau est réinitialiser à chaque fois que j'allume mon ordinateur et pourquoi ces 2 fenêtres blocs note apparaissent au démarrage ?
Par avance merci.
A+
Bonjour,
ComboFix réinitialise des paramètres par défaut et vide les dossiers temp, se reporter au tuto.
Quand tu as redémarrer à nouveau, tu as toujours l'ouverture inopinée du bloc-note ?
Toujours de alertes ?
A +
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»
ComboFix réinitialise des paramètres par défaut et vide les dossiers temp, se reporter au tuto.
Quand tu as redémarrer à nouveau, tu as toujours l'ouverture inopinée du bloc-note ?
Toujours de alertes ?
A +
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»
Bonjour, j'ai refait un scan avec bitdefender et il ne trouve plus rien.
Mais à chaque démarrage, ce sont deux fenêtres identiques qui s'ouvrent, je t'ai fait une copie d'écran, et les icônes de mon bureau qui se déplacent d'elles mêmes vers la gauche de l'écran alors que je ne les avais pas rangées de cette façon.
https://www.cjoint.com/?BGrlSPjlQHL
Merci de me dire ce que tu en penses.
A+
Mais à chaque démarrage, ce sont deux fenêtres identiques qui s'ouvrent, je t'ai fait une copie d'écran, et les icônes de mon bureau qui se déplacent d'elles mêmes vers la gauche de l'écran alors que je ne les avais pas rangées de cette façon.
https://www.cjoint.com/?BGrlSPjlQHL
Merci de me dire ce que tu en penses.
A+
re,
Afficher les fichiers cachés et fichiers système
Au démarrage, lorsque le bloc note s'ouvre :
Cliquer sur "Fichier" puis "Enregistrer sous".
Une nouvelle fenêtre s'ouvre, ne rien enregistrer mais copier l'emplacement depuis la barre d'adresse.
Menu démarrer > Rechercher > Coller l'emplacement et cliquer sur Ok.
Un dossier s'ouvre, supprimer le fichier "Desktop.ini"
Répéter l'opération pour le second fichier.
Remettre l'affichage des fichiers cachés.
Pour les icônes, tu as regarder dans les propriétés, organisation des icônes ?
A +
Afficher les fichiers cachés et fichiers système
Au démarrage, lorsque le bloc note s'ouvre :
Cliquer sur "Fichier" puis "Enregistrer sous".
Une nouvelle fenêtre s'ouvre, ne rien enregistrer mais copier l'emplacement depuis la barre d'adresse.
Menu démarrer > Rechercher > Coller l'emplacement et cliquer sur Ok.
Un dossier s'ouvre, supprimer le fichier "Desktop.ini"
Répéter l'opération pour le second fichier.
Remettre l'affichage des fichiers cachés.
Pour les icônes, tu as regarder dans les propriétés, organisation des icônes ?
A +
Merci beaucoup Kalimusic,
A priori tout va bien, bit defender ne trouve plus trace de trojan et il n'y a plus de desktop.ini qui m'embête à chaque démarrage.
Dois-je désinstaller les programmes que tu m'as fait utiliser, combofix et OTL ? Je suppose que je peux également supprimer les rapports dont tu as eu besoin ?
A+
A priori tout va bien, bit defender ne trouve plus trace de trojan et il n'y a plus de desktop.ini qui m'embête à chaque démarrage.
Dois-je désinstaller les programmes que tu m'as fait utiliser, combofix et OTL ? Je suppose que je peux également supprimer les rapports dont tu as eu besoin ?
A+
Parfait,
== == == == == == DÉSINSTALLATION DES OUTILS == == == == == ==
1. Ouvre la commande Exécuter en pressant Windows + R
● Dans la boite de dialogue, tape ComboFix /Uninstall
● Valide par Ok puis suivre les invites à l'écran.
● Un message confirme que ComboFix a été désinstallé.
2. Lance OTL
● Dans la partie "Personnalisation", copie/colle :
● Clique sur le bouton Correction.
3. Relance OTL
● Clique sur le bouton Purge outils
● Puis sur OK dans la boite de dialogue qui t'invite à redémarrer le système.
● Supprime les outils et les rapports restants éventuellement sur ton Bureau
4. Pour des raison de sécurité, il est impératif de réactiver L'UAC , mettre à son niveau par défaut.
UAC : Pourquoi ne pas le désactiver
== == == == == == == == MISES A JOUR == == == == == == == ==
Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour, c'est par ce biais que les infections arrivent :
https://www.malekal.com/maintenir-java-adobe-reader-et-le-player-flash-a-jour/ ou bien tu peux utiliser cet outil : Vérifier et mettre à jour facilement les logiciels à risque avec SX Check&Update
!! Décoche les cases proposant des logiciels partenaires pendant les installations !!
Important : Désinstalle les anciennes versions de Java si tu en as encore installées.
https://www.java.com/fr/download/help/remove_olderversions.html
Bonne journée
== == == == == == DÉSINSTALLATION DES OUTILS == == == == == ==
1. Ouvre la commande Exécuter en pressant Windows + R
● Dans la boite de dialogue, tape ComboFix /Uninstall
● Valide par Ok puis suivre les invites à l'écran.
● Un message confirme que ComboFix a été désinstallé.
2. Lance OTL
● Dans la partie "Personnalisation", copie/colle :
:OTL
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
:commands
[emptytemp]
[clearallrestorepoints]
● Clique sur le bouton Correction.
3. Relance OTL
● Clique sur le bouton Purge outils
● Puis sur OK dans la boite de dialogue qui t'invite à redémarrer le système.
● Supprime les outils et les rapports restants éventuellement sur ton Bureau
4. Pour des raison de sécurité, il est impératif de réactiver L'UAC , mettre à son niveau par défaut.
UAC : Pourquoi ne pas le désactiver
== == == == == == == == MISES A JOUR == == == == == == == ==
Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour, c'est par ce biais que les infections arrivent :
https://www.malekal.com/maintenir-java-adobe-reader-et-le-player-flash-a-jour/ ou bien tu peux utiliser cet outil : Vérifier et mettre à jour facilement les logiciels à risque avec SX Check&Update
!! Décoche les cases proposant des logiciels partenaires pendant les installations !!
Important : Désinstalle les anciennes versions de Java si tu en as encore installées.
https://www.java.com/fr/download/help/remove_olderversions.html
Bonne journée
