Virus win32:Malware gen [Résolu/Fermé]

Signaler
Messages postés
2995
Date d'inscription
dimanche 22 mai 2005
Statut
Membre
Dernière intervention
21 décembre 2020
-
 Utilisateur anonyme -
Bonjour,

Ce matin à l'ouverture de mon ordi, Avast bloque l'application ""code postal.exe"", considérant qu'elle est infectée par "win32:Malware gen".
J'ai ce logiciel (code postal) installé depuis plusieurs années dans mon ordi sans que jusqu'à présent je ne sois inquiété par une infection.
Breffffffff, le fichier est en quarantaine d'Avast.
J'ai voulu le restaurer pour le scanner avec MBAM, hors l'application est aussitôt rebloquée par Avast.

Qu'en est-il?

Merci

JC


22 réponses


bonjour,

tiens, un pseudo que j'ai déjà croisé ! :mdr:


* Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou
http://www.premiumorange.com/zeb-help-process/zhpdiag.html


* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.



* Clique sur le tourne vis, sélectionne tous les modules.

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :


https://www.cjoint.com/ => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

Messages postés
2995
Date d'inscription
dimanche 22 mai 2005
Statut
Membre
Dernière intervention
21 décembre 2020
79
Bjr Electricien

Effectivement, tu as croisé la route de mots croises !!!!!!!!!!. Je fus élève pdt un temps.

Breffffffff, comme demandé, voici le rapport ZHPDiag

http://cjoint.com/?CBcwdMVOPcC

Merci

ta formation est archivée !


bref,

j'aime pas trop ceci :

[MD5.66064DBDB70A5EB15EBF3BF65ABA254B] [SPRF][11/01/2011] (.Pas de propriétaire - Resource viewer, decompiler & recompiler..) -- C:\Program Files\ResHacker.exe [881664]



tu as quelques adwares et logiciels pup !




* Lance ZHPFix via le raccourci sur ton Bureau (icone sous forme de seringue)

/!\Utilisateur de Vista, Seven et W8 :

* Clique droit sur le logo de ZHPfix, « exécuter en tant qu'Administrateur »

* * Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans Zhpfix :
---------------------------------------------------------

O69 - SBI: prefs.js [Barthe - 8oobfp46.Moi] user_pref("weboftrust.search.ask.display", "Ask.com Web Search");
O69 - SBI: prefs.js [Barthe - dz8mzpgh.default] user_pref("weboftrust.search.ask.display", "Ask.com Web Search");
[HKLM\Software\Classes\SearchBar.Client]
[HKCU\Software\InstallCore]
[HKCU\Software\SpeedMaxPc]
[HKCU\Software\SweetIM]
[HKLM\Software\SpeedMaxPc]
[HKLM\Software\TENCENT]
O43 - CFD: 27/01/2013 - 13:03:38 - [0] ----D C:\Documents and Settings\Barthe\Application Data\SpeedMaxPc
O47 - AAKE:Key Export SP - "C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe" [Enabled] .(...) -- C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe (.not file.)
O53 - SMSR:HKLM\...\startupreg\Sweetpacks Communicator [Key] . (...) -- C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe (.not file.)
[HKCU\Software\SweetIM]
[HKLM\Software\Tencent]
[HKCU\Software\InstallCore]
[HKLM\Software\Classes\AppID\{4D076AB4-7562-427A-B5D2-BD96E19DEE56}]
[HKLM\Software\Classes\AppID\secman.DLL]
C:\Documents and Settings\Barthe\Application Data\SpeedMaxPc
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
Emptytemp
EmptyClsid


----------------------------------------------------------
* Clique sur l'icone représentant le presse-papier (L'icone entre l'appareil photo et le parchemin, en haut à droite de la page d'outil)

- Clique sur le bouton « GO » pour lancer le nettoyage,
- confirme le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse
Tuto :

http://www.premiumorange.com/zeb-help-process/zhpfix.html

Messages postés
2995
Date d'inscription
dimanche 22 mai 2005
Statut
Membre
Dernière intervention
21 décembre 2020
79
Rapport ZHPFix

Merci

"""""""

Rapport de ZHPFix 1.3.13 par Nicolas Coolman, Update du 26/01/2013
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-02-02-2013-23-39-41.txt
Run by Barthe at 02/02/2013 23:39:41
Windows XP Home Edition Service Pack 3 (Build 2600)


========== Clé(s) du Registre ==========
SUPPRIME Key: HKLM\Software\Classes\SearchBar.Client
SUPPRIME Key: HKCU\Software\InstallCore
SUPPRIME Key: HKCU\Software\SpeedMaxPc
SUPPRIME Key: HKCU\Software\SweetIM
SUPPRIME Key: HKLM\Software\SpeedMaxPc
SUPPRIME Key: HKLM\Software\TENCENT
SUPPRIME Key: StartupReg: Sweetpacks Communicator
ABSENT Key: HKLM\Software\Tencent
SUPPRIME Key: HKLM\Software\Classes\AppID\{4D076AB4-7562-427A-B5D2-BD96E19DEE56}
SUPPRIME Key: HKLM\Software\Classes\AppID\secman.DLL

========== Valeur(s) du Registre ==========
SUPPRIME AAKE KeyValue: C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe
SUPPRIME RunValue: CTFMON.EXE

========== Préférences navigateur ==========
SUPPRIME Mozilla Pref: user_pref("weboftrust.search.ask.display", "Ask.com Web Search");
SUPPRIME Mozilla Pref: user_pref("weboftrust.search.ask.display", "Ask.com Web Search");

========== Dossier(s) ==========

========== Fichier(s) ==========
ABSENT File: c:\program files\sweetim\communicator\sweetpacksupdatemanager.exe
ABSENT Folder/File: c:\documents and settings\barthe\application data\speedmaxpc
SUPPRIME Temporaires Windows:
j'aime pas trop ceci, tu sais ce que c'est ? :

[MD5.66064DBDB70A5EB15EBF3BF65ABA254B] [SPRF][11/01/2011] (.Pas de propriétaire - Resource viewer, decompiler & recompiler..) -- C:\Program Files\ResHacker.exe [881664]

O.o°*Membre, Contributeur sécurité CCM o°.Oø¤º°'°º¤ø
=>>Réspire à fond, Rédige ton message en bon français et de manière claire. Cà va bien se passer, tu verras, enfin on essaie !!! o°Oø
Messages postés
2995
Date d'inscription
dimanche 22 mai 2005
Statut
Membre
Dernière intervention
21 décembre 2020
79
Ben non je ne sais pas.

Je vois "viewer" sur cette ligne, ce que je peux dire c'est que je rends service (avec mes p'tites connaissances) à des amis par l'intermédiaire de viewer, et ça, depuis quelques années déjà.

Et on ne peut supprimer ce fichier??????
Messages postés
2995
Date d'inscription
dimanche 22 mai 2005
Statut
Membre
Dernière intervention
21 décembre 2020
79
Pour info j'ai scanné avec MBAM les 6 fichiers qui sont placés dans le dossier zip. Il n'en ressort rien. Et puis dans "Reshacker" j'y vois les 2 syllabes de "hacker". Je ne t'apprendrai pas ce qu'est un hacker !!!!!!!!.
Tout les logiciels téléchargés je sais dire si c'est moi qui les ai téléchargés ou pas, et ce depuis plusieurs années. Ce "Reshacker" en revanche, ça ne me dit rien du tout.
Si je peux supprimer ça tu me fais signe, j'amorce le cordon dynamiteur !!!!!!!!
Je peux ensuite désinstaller manuellement dans la BDR tout ce qui a trait à "Reshacker" aussi.

Merci, bonne journée.

passe le d'abord sur le site de virus total pour voir ce que c'est !

C:\Program Files\ResHacker.exe

après, on peut le désinstaller je suppose !




Messages postés
2995
Date d'inscription
dimanche 22 mai 2005
Statut
Membre
Dernière intervention
21 décembre 2020
79
L'analyse avec virus total trouve une détection ratio de : 0 / 46.

Sur le site de virus total il est dit que si le chiffre est différent de zéro il y a infection. Hors le chiffre étant zéro, à priori le fichier n'est pas infecté.
Virus total ne me donne pas d'autre information.

Pour ce qui est de la ligne suivante "que tu n'aimes pas", y a t'il un rapport avec le fichier "Reshacker"? ou est-ce autre chose?

[MD5.66064DBDB70A5EB15EBF3BF65ABA254B] [SPRF][11/01/2011] (.Pas de propriétaire - Resource viewer, decompiler & recompiler..) -- C:\Program Files\ResHacker.exe [881664] .

Puis je désinstalle de toute manière tout ce qui a trait à "Reshacker", et ferai une désinstallation manuelle dans la BDR, et je terminerai pas un coup de Ccleaner.

Merci

ok,

lance un scan complet de MBAM pour voir ce qu'il en trouve lui


poste son rapport


Messages postés
2995
Date d'inscription
dimanche 22 mai 2005
Statut
Membre
Dernière intervention
21 décembre 2020
79
Un résultat Electricien

""""""""

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.02.03.09

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Barthe :: PAPOUNE [administrateur]

03/02/2013 22:02:46
MBAM-log-2013-02-03 (22-59-05).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 272754
Temps écoulé: 54 minute(s), 4 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\System Volume Information\_restore{C8EE8A9A-5636-4392-8C41-A77A3057BB9A}\RP341\A0055889.exe (PUP.Offerware) -> Aucune action effectuée.

(fin)

Aucune action effectuée

pourquoi tu ne l'as pas viré ?

la restauration système est infectée !!!



Messages postés
2995
Date d'inscription
dimanche 22 mai 2005
Statut
Membre
Dernière intervention
21 décembre 2020
79
Bonsoir Electricien

Je prends ton message tard. Non je n'ai pas fait d'action en attendant ta réponse. Je scanne à nouveau et je supprime.

La restauration infectée?????
C'est important ça non?
Dis moi tout.

Merci
Messages postés
2995
Date d'inscription
dimanche 22 mai 2005
Statut
Membre
Dernière intervention
21 décembre 2020
79
Est-de l'infection pup? de la publicité? pas trop grave p'tet.
Messages postés
2995
Date d'inscription
dimanche 22 mai 2005
Statut
Membre
Dernière intervention
21 décembre 2020
79
Bonjour Electricien.

Donc, j'ai scanné de nouveau avec MBAM. J'ai supprimé le fichier infecté.
Puis j'ai purgé la restauration en désactivant la restauration système, puis en la réactivant. J'ai redémarré le système.
J'ai effectué un nouveau scann avec MBAM dont voici le rapport, celui-ci ne détectant plus d'infection.
Tu me dis si tu penses devoir procéder à d'autres manip's.

Merci

"""""""

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.02.03.09

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Barthe :: PAPOUNE [administrateur]

05/02/2013 00:11:34
mbam-log-2013-02-05 (00-11-34).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 264961
Temps écoulé: 1 heure(s), 19 minute(s),

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

bonjour,

si la restauration système est active (normalement), windows crée au file du temps des fichiers de sauvagarde au cas ou, avec les infections sur ton pc !

certains antivirus et même MBAM choppent ces infections dans la restauration système, donc pas de panique, on va tout purger et en créer un nouveau tout propre :D



mais avant tout ceci, j'aurais besoin de savoir si le pc fonctionnement corretcement et normalement :D



Messages postés
2995
Date d'inscription
dimanche 22 mai 2005
Statut
Membre
Dernière intervention
21 décembre 2020
79
Hello Electricien.

Le PC fonctionne normalement et bien. Toutefois il y a environ 1 mois, à la mise en route, il s'est bloqué totalement dès les premières lignes d'inscription sur l'écran noir. Reaset quelquefois et il s'est remis à fonctionner normalement. Hormis cet incident qui n'était jamais arrivé auparavant, tout va bien.

Et puis pour info Electricien, au dessus de ton dernier post' j'ai posté la dernière manip' que j'ai faite, à savoir purger la restauration système avec redémarrage de l'ordi. Tu ne le verrais peut-être pas depuis chez toi?

Bonne journée.

bonsoir,

il fallait attendre pour la purge de restauration système :D


Télecharge Delfix sur ton bureau :

ICI

ou



Coche les cases suivantes :
=> Réactive l'Uac (juste pour Vista, Seven et W8)
=> Supprimer les outils de désinfection (coché par défaut)
=> Purger la restauration système
=> Réinitialisation des paramètres système


* Clique ensuite sur Exécuter puis patiente pendant le processus de suppression.
* Lorsque les procédures seront terminées, l'outil va se fermer et disparaître du bureau
* Un rapport est sauvegardé dans le presse-papier : il te suffit de faire un clic droit et "coller" dans ta prochaine réponse pour me poster le rapport


* fais une mise à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au courant du résultat :-)
Messages postés
2995
Date d'inscription
dimanche 22 mai 2005
Statut
Membre
Dernière intervention
21 décembre 2020
79
Excuse moi d'avoir anticipé Electricien, je pensais bien faire.

Pour le scann minutieux réalisé avec l'antivirus, ((aucun fichier infecté)).

Puis le rapport Delfix ci-dessous

Merci

""""""""""""""""

# DelFix v10.0 - Rapport créé le 05/02/2013 à 22:40:37
# Mis à jour le 04/01/2013 par Xplode
# Nom d'utilisateur : Barthe - PAPOUNE

~ Suppression des outils de désinfection ...

Supprimé : C:\Toolbar SD
Supprimé : C:\ZHP
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Documents and Settings\Barthe\Bureau\ZHPDiag.txt
Supprimé : C:\Documents and Settings\Barthe\Bureau\ZHPFixReport.txt
Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk
Supprimé : C:\Documents and Settings\Barthe\Mes documents\Téléchargements\adwcleaner.exe
Supprimé : C:\Documents and Settings\Barthe\Mes documents\Téléchargements\ToolBarSD.exe
Supprimé : C:\Documents and Settings\Barthe\Mes documents\Téléchargements\ZHPDiag2.exe
Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ZHP
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\TrendMicro\Hijackthis
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~ Purge de la restauration système ...

Supprimé : RP #343 [Point de vérification système | 02/04/2013 23:07:52]
Supprimé : RP #344 [Removed Java 7 Update 11 | 02/05/2013 00:41:30]

Nouveau point de restauration créé !

~ Réinitialisation des paramètres système ... OK

########## - EOF - ##########


super,

as tu autres soucis ?


Messages postés
2995
Date d'inscription
dimanche 22 mai 2005
Statut
Membre
Dernière intervention
21 décembre 2020
79
Non aucun.

Peux tu me dire ce qu'était cette infection? important?

Et ensuite je classe cette intervention en résolu comme d'hab'.

Et merci. Bonne journée.

comme je te l'ai dit un peu plus haut :

tu as quelques adwares et logiciels pup !

donc voilà :D

sur ce, bon surf ;-)



Messages postés
2995
Date d'inscription
dimanche 22 mai 2005
Statut
Membre
Dernière intervention
21 décembre 2020
79
Bonsoir Electricien

Mince, du coup j'aimerais éradiquer ces adwares et logiciels dont tu me parles.

Possible?

Merci
bonjour,

c'est déjà fait ;-)

t'imagines bien que je ne te laisse pas partire avant d'avoir tout viré :P



O.o°*Membre, Contributeur sécurité CCM o°.Oø¤º°'°º¤ø
=>>Réspire à fond, Rédige ton message en bon français et de manière claire. Cà va bien se passer, tu verras, enfin on essaie !!! o°Oø
Messages postés
2995
Date d'inscription
dimanche 22 mai 2005
Statut
Membre
Dernière intervention
21 décembre 2020
79
Bonjour Elec

Ce que je me disais aussi !!!!!!

Merci, bonne journée.

PS : J'ai scanné sur l'ordi d'un ami avec MBAM, il en ressort 216 infections (PUP.Blabbers - PUP. Downloadsave - PUP.Offerbundler.st et PUP.InstallBrain).

Est-ce que je dois ouvrir un nouveau sujet? Sachant que je n'aurai pas accès à l'ordi tous les jours pour faire un suivi rapide.