Virus win32:Malware gen

Résolu
Mots croisés Messages postés 3059 Date d'inscription   Statut Membre Dernière intervention   -  
 Utilisateur anonyme -
Bonjour,

Ce matin à l'ouverture de mon ordi, Avast bloque l'application ""code postal.exe"", considérant qu'elle est infectée par "win32:Malware gen".
J'ai ce logiciel (code postal) installé depuis plusieurs années dans mon ordi sans que jusqu'à présent je ne sois inquiété par une infection.
Breffffffff, le fichier est en quarantaine d'Avast.
J'ai voulu le restaurer pour le scanner avec MBAM, hors l'application est aussitôt rebloquée par Avast.

Qu'en est-il?

Merci

JC



--
Sans les Helpers notre errance informatique serait sans fin - Mots croisés

22 réponses

  • 1
  • 2
  1. Utilisateur anonyme
     
    bonjour,

    tiens, un pseudo que j'ai déjà croisé ! :mdr:

    * Télécharge ZHPDiag sur ton bureau :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
    ou
    http://www.premiumorange.com/zeb-help-process/zhpdiag.html

    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

    * Clique sur le tourne vis, sélectionne tous les modules.

    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Héberge le rapport ZHPDiag.txt sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :

    https://www.cjoint.com/ => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

    0
  2. Mots croisés Messages postés 3059 Date d'inscription   Statut Membre Dernière intervention   113
     
    Bjr Electricien

    Effectivement, tu as croisé la route de mots croises !!!!!!!!!!. Je fus élève pdt un temps.

    Breffffffff, comme demandé, voici le rapport ZHPDiag

    http://cjoint.com/?CBcwdMVOPcC

    Merci
    0
  3. Utilisateur anonyme
     
    ta formation est archivée !

    bref,

    j'aime pas trop ceci :

    [MD5.66064DBDB70A5EB15EBF3BF65ABA254B] [SPRF][11/01/2011] (.Pas de propriétaire - Resource viewer, decompiler & recompiler..) -- C:\Program Files\ResHacker.exe [881664]

    tu as quelques adwares et logiciels pup !

    * Lance ZHPFix via le raccourci sur ton Bureau (icone sous forme de seringue)

    /!\Utilisateur de Vista, Seven et W8 :

    * Clique droit sur le logo de ZHPfix, « exécuter en tant qu'Administrateur »

    * * Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans Zhpfix :
    ---------------------------------------------------------

    O69 - SBI: prefs.js [Barthe - 8oobfp46.Moi] user_pref("weboftrust.search.ask.display", "Ask.com Web Search");
    O69 - SBI: prefs.js [Barthe - dz8mzpgh.default] user_pref("weboftrust.search.ask.display", "Ask.com Web Search");
    [HKLM\Software\Classes\SearchBar.Client]
    [HKCU\Software\InstallCore]
    [HKCU\Software\SpeedMaxPc]
    [HKCU\Software\SweetIM]
    [HKLM\Software\SpeedMaxPc]
    [HKLM\Software\TENCENT]
    O43 - CFD: 27/01/2013 - 13:03:38 - [0] ----D C:\Documents and Settings\Barthe\Application Data\SpeedMaxPc
    O47 - AAKE:Key Export SP - "C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe" [Enabled] .(...) -- C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe (.not file.)
    O53 - SMSR:HKLM\...\startupreg\Sweetpacks Communicator [Key] . (...) -- C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe (.not file.)
    [HKCU\Software\SweetIM]
    [HKLM\Software\Tencent]
    [HKCU\Software\InstallCore]
    [HKLM\Software\Classes\AppID\{4D076AB4-7562-427A-B5D2-BD96E19DEE56}]
    [HKLM\Software\Classes\AppID\secman.DLL]
    C:\Documents and Settings\Barthe\Application Data\SpeedMaxPc
    OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
    OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
    OPT:O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
    OPT:O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
    Emptytemp
    EmptyClsid


    ----------------------------------------------------------
    * Clique sur l'icone représentant le presse-papier (L'icone entre l'appareil photo et le parchemin, en haut à droite de la page d'outil)

    - Clique sur le bouton « GO » pour lancer le nettoyage,
    - confirme le nettoyage
    - Copie/colle la totalité du rapport dans ta prochaine réponse
    Tuto :

    http://www.premiumorange.com/zeb-help-process/zhpfix.html

    0
  4. Mots croisés Messages postés 3059 Date d'inscription   Statut Membre Dernière intervention   113
     
    Rapport ZHPFix

    Merci

    """""""

    Rapport de ZHPFix 1.3.13 par Nicolas Coolman, Update du 26/01/2013
    Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-02-02-2013-23-39-41.txt
    Run by Barthe at 02/02/2013 23:39:41
    Windows XP Home Edition Service Pack 3 (Build 2600)

    ========== Clé(s) du Registre ==========
    SUPPRIME Key: HKLM\Software\Classes\SearchBar.Client
    SUPPRIME Key: HKCU\Software\InstallCore
    SUPPRIME Key: HKCU\Software\SpeedMaxPc
    SUPPRIME Key: HKCU\Software\SweetIM
    SUPPRIME Key: HKLM\Software\SpeedMaxPc
    SUPPRIME Key: HKLM\Software\TENCENT
    SUPPRIME Key: StartupReg: Sweetpacks Communicator
    ABSENT Key: HKLM\Software\Tencent
    SUPPRIME Key: HKLM\Software\Classes\AppID\{4D076AB4-7562-427A-B5D2-BD96E19DEE56}
    SUPPRIME Key: HKLM\Software\Classes\AppID\secman.DLL

    ========== Valeur(s) du Registre ==========
    SUPPRIME AAKE KeyValue: C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe
    SUPPRIME RunValue: CTFMON.EXE

    ========== Préférences navigateur ==========
    SUPPRIME Mozilla Pref: user_pref("weboftrust.search.ask.display", "Ask.com Web Search");
    SUPPRIME Mozilla Pref: user_pref("weboftrust.search.ask.display", "Ask.com Web Search");

    ========== Dossier(s) ==========

    ========== Fichier(s) ==========
    ABSENT File: c:\program files\sweetim\communicator\sweetpacksupdatemanager.exe
    ABSENT Folder/File: c:\documents and settings\barthe\application data\speedmaxpc
    SUPPRIME Temporaires Windows:
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    j'aime pas trop ceci, tu sais ce que c'est ? :

    [MD5.66064DBDB70A5EB15EBF3BF65ABA254B] [SPRF][11/01/2011] (.Pas de propriétaire - Resource viewer, decompiler & recompiler..) -- C:\Program Files\ResHacker.exe [881664]

    O.o°*Membre, Contributeur sécurité CCM o°.Oø¤º°'°º¤ø
    =>>Réspire à fond, Rédige ton message en bon français et de manière claire. Cà va bien se passer, tu verras, enfin on essaie !!! o°Oø
    0
  7. Mots croisés Messages postés 3059 Date d'inscription   Statut Membre Dernière intervention   113
     
    Ben non je ne sais pas.

    Je vois "viewer" sur cette ligne, ce que je peux dire c'est que je rends service (avec mes p'tites connaissances) à des amis par l'intermédiaire de viewer, et ça, depuis quelques années déjà.

    Et on ne peut supprimer ce fichier??????
    0
    1. Mots croisés Messages postés 3059 Date d'inscription   Statut Membre Dernière intervention   113
       
      Pour info j'ai scanné avec MBAM les 6 fichiers qui sont placés dans le dossier zip. Il n'en ressort rien. Et puis dans "Reshacker" j'y vois les 2 syllabes de "hacker". Je ne t'apprendrai pas ce qu'est un hacker !!!!!!!!.
      Tout les logiciels téléchargés je sais dire si c'est moi qui les ai téléchargés ou pas, et ce depuis plusieurs années. Ce "Reshacker" en revanche, ça ne me dit rien du tout.
      Si je peux supprimer ça tu me fais signe, j'amorce le cordon dynamiteur !!!!!!!!
      Je peux ensuite désinstaller manuellement dans la BDR tout ce qui a trait à "Reshacker" aussi.

      Merci, bonne journée.
      0
  8. Utilisateur anonyme
     
    passe le d'abord sur le site de virus total pour voir ce que c'est !

    C:\Program Files\ResHacker.exe

    après, on peut le désinstaller je suppose !

    0
    1. Mots croisés Messages postés 3059 Date d'inscription   Statut Membre Dernière intervention   113
       
      L'analyse avec virus total trouve une détection ratio de : 0 / 46.

      Sur le site de virus total il est dit que si le chiffre est différent de zéro il y a infection. Hors le chiffre étant zéro, à priori le fichier n'est pas infecté.
      Virus total ne me donne pas d'autre information.

      Pour ce qui est de la ligne suivante "que tu n'aimes pas", y a t'il un rapport avec le fichier "Reshacker"? ou est-ce autre chose?

      [MD5.66064DBDB70A5EB15EBF3BF65ABA254B] [SPRF][11/01/2011] (.Pas de propriétaire - Resource viewer, decompiler & recompiler..) -- C:\Program Files\ResHacker.exe [881664] .

      Puis je désinstalle de toute manière tout ce qui a trait à "Reshacker", et ferai une désinstallation manuelle dans la BDR, et je terminerai pas un coup de Ccleaner.

      Merci
      0
  9. Utilisateur anonyme
     
    ok,

    lance un scan complet de MBAM pour voir ce qu'il en trouve lui

    poste son rapport

    0
  10. Mots croisés Messages postés 3059 Date d'inscription   Statut Membre Dernière intervention   113
     
    Un résultat Electricien

    """"""""

    Malwarebytes Anti-Malware 1.70.0.1100
    www.malwarebytes.org

    Version de la base de données: v2013.02.03.09

    Windows XP Service Pack 3 x86 NTFS
    Internet Explorer 8.0.6001.18702
    Barthe :: PAPOUNE [administrateur]

    03/02/2013 22:02:46
    MBAM-log-2013-02-03 (22-59-05).txt

    Type d'examen: Examen complet (C:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 272754
    Temps écoulé: 54 minute(s), 4 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 1
    C:\System Volume Information\_restore{C8EE8A9A-5636-4392-8C41-A77A3057BB9A}\RP341\A0055889.exe (PUP.Offerware) -> Aucune action effectuée.

    (fin)
    0
  11. Utilisateur anonyme
     
    Aucune action effectuée

    pourquoi tu ne l'as pas viré ?

    la restauration système est infectée !!!

    0
  12. Mots croisés Messages postés 3059 Date d'inscription   Statut Membre Dernière intervention   113
     
    Bonsoir Electricien

    Je prends ton message tard. Non je n'ai pas fait d'action en attendant ta réponse. Je scanne à nouveau et je supprime.

    La restauration infectée?????
    C'est important ça non?
    Dis moi tout.

    Merci
    0
    1. Mots croisés Messages postés 3059 Date d'inscription   Statut Membre Dernière intervention   113
       
      Est-de l'infection pup? de la publicité? pas trop grave p'tet.
      0
    2. Mots croisés Messages postés 3059 Date d'inscription   Statut Membre Dernière intervention   113
       
      Bonjour Electricien.

      Donc, j'ai scanné de nouveau avec MBAM. J'ai supprimé le fichier infecté.
      Puis j'ai purgé la restauration en désactivant la restauration système, puis en la réactivant. J'ai redémarré le système.
      J'ai effectué un nouveau scann avec MBAM dont voici le rapport, celui-ci ne détectant plus d'infection.
      Tu me dis si tu penses devoir procéder à d'autres manip's.

      Merci

      """""""

      Malwarebytes Anti-Malware 1.70.0.1100
      www.malwarebytes.org

      Version de la base de données: v2013.02.03.09

      Windows XP Service Pack 3 x86 NTFS
      Internet Explorer 8.0.6001.18702
      Barthe :: PAPOUNE [administrateur]

      05/02/2013 00:11:34
      mbam-log-2013-02-05 (00-11-34).txt

      Type d'examen: Examen complet (C:\|)
      Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
      Options d'examen désactivées: P2P
      Elément(s) analysé(s): 264961
      Temps écoulé: 1 heure(s), 19 minute(s),

      Processus mémoire détecté(s): 0
      (Aucun élément nuisible détecté)

      Module(s) mémoire détecté(s): 0
      (Aucun élément nuisible détecté)

      Clé(s) du Registre détectée(s): 0
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre détectée(s): 0
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre détecté(s): 0
      (Aucun élément nuisible détecté)

      Dossier(s) détecté(s): 0
      (Aucun élément nuisible détecté)

      Fichier(s) détecté(s): 0
      (Aucun élément nuisible détecté)

      (fin)
      0
  13. Utilisateur anonyme
     
    bonjour,

    si la restauration système est active (normalement), windows crée au file du temps des fichiers de sauvagarde au cas ou, avec les infections sur ton pc !

    certains antivirus et même MBAM choppent ces infections dans la restauration système, donc pas de panique, on va tout purger et en créer un nouveau tout propre :D

    mais avant tout ceci, j'aurais besoin de savoir si le pc fonctionnement corretcement et normalement :D

    0
  14. Mots croisés Messages postés 3059 Date d'inscription   Statut Membre Dernière intervention   113
     
    Hello Electricien.

    Le PC fonctionne normalement et bien. Toutefois il y a environ 1 mois, à la mise en route, il s'est bloqué totalement dès les premières lignes d'inscription sur l'écran noir. Reaset quelquefois et il s'est remis à fonctionner normalement. Hormis cet incident qui n'était jamais arrivé auparavant, tout va bien.

    Et puis pour info Electricien, au dessus de ton dernier post' j'ai posté la dernière manip' que j'ai faite, à savoir purger la restauration système avec redémarrage de l'ordi. Tu ne le verrais peut-être pas depuis chez toi?

    Bonne journée.
    0
  15. Utilisateur anonyme
     
    bonsoir,

    il fallait attendre pour la purge de restauration système :D

    Télecharge Delfix sur ton bureau :

    ICI

    ou

    Coche les cases suivantes :
    => Réactive l'Uac (juste pour Vista, Seven et W8)
    => Supprimer les outils de désinfection (coché par défaut)
    => Purger la restauration système
    => Réinitialisation des paramètres système

    * Clique ensuite sur Exécuter puis patiente pendant le processus de suppression.
    * Lorsque les procédures seront terminées, l'outil va se fermer et disparaître du bureau
    * Un rapport est sauvegardé dans le presse-papier : il te suffit de faire un clic droit et "coller" dans ta prochaine réponse pour me poster le rapport

    * fais une mise à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au courant du résultat :-)
    0
  16. Mots croisés Messages postés 3059 Date d'inscription   Statut Membre Dernière intervention   113
     
    Excuse moi d'avoir anticipé Electricien, je pensais bien faire.

    Pour le scann minutieux réalisé avec l'antivirus, ((aucun fichier infecté)).

    Puis le rapport Delfix ci-dessous

    Merci

    """"""""""""""""

    # DelFix v10.0 - Rapport créé le 05/02/2013 à 22:40:37
    # Mis à jour le 04/01/2013 par Xplode
    # Nom d'utilisateur : Barthe - PAPOUNE

    ~ Suppression des outils de désinfection ...

    Supprimé : C:\Toolbar SD
    Supprimé : C:\ZHP
    Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP
    Supprimé : C:\Program Files\ZHPDiag
    Supprimé : C:\PhysicalDisk0_MBR.bin
    Supprimé : C:\Documents and Settings\Barthe\Bureau\ZHPDiag.txt
    Supprimé : C:\Documents and Settings\Barthe\Bureau\ZHPFixReport.txt
    Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk
    Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
    Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk
    Supprimé : C:\Documents and Settings\Barthe\Mes documents\Téléchargements\adwcleaner.exe
    Supprimé : C:\Documents and Settings\Barthe\Mes documents\Téléchargements\ToolBarSD.exe
    Supprimé : C:\Documents and Settings\Barthe\Mes documents\Téléchargements\ZHPDiag2.exe
    Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ZHP
    Supprimée : HKLM\SOFTWARE\AdwCleaner
    Supprimée : HKLM\SOFTWARE\TrendMicro\Hijackthis
    Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

    ~ Purge de la restauration système ...

    Supprimé : RP #343 [Point de vérification système | 02/04/2013 23:07:52]
    Supprimé : RP #344 [Removed Java 7 Update 11 | 02/05/2013 00:41:30]

    Nouveau point de restauration créé !

    ~ Réinitialisation des paramètres système ... OK

    ########## - EOF - ##########

    0
  17. Utilisateur anonyme
     
    super,

    as tu autres soucis ?

    0
  18. Mots croisés Messages postés 3059 Date d'inscription   Statut Membre Dernière intervention   113
     
    Non aucun.

    Peux tu me dire ce qu'était cette infection? important?

    Et ensuite je classe cette intervention en résolu comme d'hab'.

    Et merci. Bonne journée.
    0
  19. Utilisateur anonyme
     
    comme je te l'ai dit un peu plus haut :

    tu as quelques adwares et logiciels pup !

    donc voilà :D

    sur ce, bon surf ;-)

    0
    1. Mots croisés Messages postés 3059 Date d'inscription   Statut Membre Dernière intervention   113
       
      Bonsoir Electricien

      Mince, du coup j'aimerais éradiquer ces adwares et logiciels dont tu me parles.

      Possible?

      Merci
      0
  20. Utilisateur anonyme
     
    bonjour,

    c'est déjà fait ;-)

    t'imagines bien que je ne te laisse pas partire avant d'avoir tout viré :P

    O.o°*Membre, Contributeur sécurité CCM o°.Oø¤º°'°º¤ø
    =>>Réspire à fond, Rédige ton message en bon français et de manière claire. Cà va bien se passer, tu verras, enfin on essaie !!! o°Oø
    0
  21. Mots croisés Messages postés 3059 Date d'inscription   Statut Membre Dernière intervention   113
     
    Bonjour Elec

    Ce que je me disais aussi !!!!!!

    Merci, bonne journée.

    PS : J'ai scanné sur l'ordi d'un ami avec MBAM, il en ressort 216 infections (PUP.Blabbers - PUP. Downloadsave - PUP.Offerbundler.st et PUP.InstallBrain).

    Est-ce que je dois ouvrir un nouveau sujet? Sachant que je n'aurai pas accès à l'ordi tous les jours pour faire un suivi rapide.
    0
  • 1
  • 2