TR/Dropper.gen : comment nettoyer mon pc de cette infection ?Fermé

Question

Bonjour à tous, 

de retour à la maison familliale, je vois que le pc de tous a été contaminé.
Avira me signale "TR/Dropper.gen" (avec de nombreux proccessus poubelle en même temps).

J'ai recherché par moi-même avant ... comme d'hab... mais là ça a dépassé mes compétences de bases.

Si l'un d'entre-vous aurait l'amabilité de me guider tout au long de la desinfection du PC (XP PRO)... je serais un élève discipliné !


Merci par avance la communauté :)

Utilisateur anonyme · Answer

Bonjour 

On va faire une analyse de ton systéme.  


* Télécharge ZHPDiag  ( de Nicolas coolman ).  
ou 
ZHPDiag  
ou
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou le lien FTP en secours :
ftp://zebulon.fr/ZHPDiag2.exe 

                                                  *********************** 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, (icône en forme de parchemin) exécuter en tant qu'Administrateur /!\  
* Laisse toi guider lors de l'installation  
* Il se lancera automatiquement à la fin de l'installation  
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)  
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette  
* Héberge le rapport ZHPDiag.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles  puis copie/colle le lien fournit dans ta prochaine réponse sur le forum

pitimoi · Answer

Et voici ! 
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130508_t9q11v11q10q5

Merci par avance du temps accordé :)

Utilisateur anonyme · Answer

A l'avenir oublis  uTorrent et le risque d'étre virusé sera réduit ;)
Profites en pour supprimer Spybot - Search & Destroy   .Il est devenu obsoléte.       

Télécharges ce fichier: 

====>  pitimoi.zip <====

* Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination  
*Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
* Fais un glisser/déposer du fichier  téléchargé ou copie/colle les lignes dans la partie blanche de Zhpfix
*Clique sur le bouton « GO » pour lancer le nettoyage,
*Copie/colle la totalité du rapport dans ta prochaine réponse

========================================================

* Télécharge AdwCleaner sur ton Bureau. (Merci à Xplode)

*Double-clique sur l'icône AdwCleaner située sur ton Bureau.
*Sur la page, clique sur le bouton «Suppression»
*Laisse travailler l'outil.
*Poste le rapport qui apparaît à la fin.
(Le rapport est sauvegardé aussi sous C:\ AdwCleaner[SX].Txt)

pitimoi · Answer

1) uTorrent et Spybot S&D supprimés (merci de la mise à jour haha)



2) ZHPFix
J'ai lancé le nettoyage une fois hier soir ... c'était long ... très long ... "traitement en cours" pendant plus de 16h. Donc j'ai craqué, je me disais que ça avançait plus (le proccessus était inactif dans le gestionnaire des taches) ; alors j'ai quitté.

J'ai lancé le nettoyage une seconde fois ce midi ... durée du traitement de 1mn.

Tu trouveras ici les 2 rapports (bien que le 2nd me semble bien plus pertinent) :
n°1 : https://pjjoint.malekal.com/files.php?id=20130509_5d10f11d8x6
n°2 : https://pjjoint.malekal.com/files.php?id=20130509_o11p5r6t9f10



3) AdwCleaner : sans soucis, voici le rapport -
https://pjjoint.malekal.com/files.php?id=20130509_z10b12o5s5r6



Merciiiiiii mille fois !

Utilisateur anonyme · Answer

On va faire une vérification . 
Post un nouveau rapport zhpdiag. 
Ouvres zhpdiag et clic sur la flèche verte pour faire la mise a jour du programme.Si mise a jour installes la.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
Héberge le rapport ZHPDiag.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles  puis copie/colle le lien fournit dans ta prochaine réponse sur le forum

pitimoi · Answer

1) Mise à jour effectué : il y en avait une effectivement

2) Voici le nouveau rapport ZHPDiag (loupe - ) : https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130510_w14d9e7f13x9

Utilisateur anonyme · Answer

* rends toi sur ce site : https://www.virustotal.com/gui/ 
==>Analyse ce fichier:
----------------------------------------------------------------------
C:\Documents and Settings\All Users\Application Data\7C3Ia68x.exe    

----------------------------------------------------------------------
* Cliquez sur  "Choose File".. :
* Sélectionnez le fichier que vous voulez analyser et cliquez sur Ouvrir :
* Cliquez ensuite sur "Scan It": 

s'il a déjà été analysé, demande une nouvelle analyse.

* Copies le lien dans la barre d'adresse de la page VirusTotal et colles ce même lien dans ta prochaine réponse .

pitimoi · Answer

Voilà pour le fichier demandé : https://www.virustotal.com/gui/file/173dab15a1b1e8d9f49ffca41c84da8d708a0716a703c86b934a65d9989c8e95

Il y avait également 4 autres fichiers "inconnus" au même endroit, j'ai pris la liberté de leur faire subir la même analyse :
https://www.virustotal.com/gui/file/6b86b273ff34fce19d6b804eff5a3f5747ada4eaa22f1d49c01e52ddb7875b4b
https://www.virustotal.com/gui/file/6b86b273ff34fce19d6b804eff5a3f5747ada4eaa22f1d49c01e52ddb7875b4b
https://www.virustotal.com/gui/file/198f73b26a2c95a523cb4b3a353085a72da7af8a9b34d91baf8798193b9bed79
https://www.virustotal.com/gui/file/e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855


Merci !

Utilisateur anonyme · Answer

1/ Copie/colle les lignes suivantes en gras:
2/Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
3/Tu dois a présent apercevoir les lignes ci-dessus dans le cadre blanc de ZHPFix

----------------------------------------------------------
[MD5.C414077701A53195C61CBE58E842050A] [SPRF][07/05/2013] (...) -- C:\Documents and Settings\All Users\Application Data\7C3Ia68x.exe   [154624]
 
--------------------------------------------------------

- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse

pitimoi · Answer

Rapport de ZHPFix 2013.3.9.1 par Nicolas Coolman, Update du 9/03/2013
Fichier d'export Registre : 
Run by Utilisateur at 10/05/2013 22:50:46
High Elevated Privileges : OK
Windows XP Professional Service Pack 3 (Build 2600)

Corbeille vidée

========== Processus mémoire ==========
SUPPRIME Memory Process: C:\Documents and Settings\All Users\Application Data\7C3Ia68x.exe

========== Fichier(s) ==========
SUPPRIME File***: c:\documents and settings\all users\application data\7c3ia68x.exe


========== Récapitulatif ==========
1 : Processus mémoire
1 : Fichier(s)


End of clean in 00mn 00s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 09/05/2013 21:13:09 [420]
C:\ZHP\ZHPFix[R2].txt - 09/05/2013 11:53:01 [7553]
C:\ZHP\ZHPFix[R3].txt - 10/05/2013 22:50:46 [767]

Utilisateur anonyme · Answer

Tu as toujours les détections de ton antivirus?

pitimoi · Answer

Alors alors,

hier soir j'ai eu une alerte en me rendant le répertoire où ce situait le fichier infecté (scan en temps réel) => action : mise en quarantaine

puis apres j'ai effectué mon scan intégral antivirus avec Avira. RAS.

Ton avis ?
Merci !

Utilisateur anonyme · Answer

Tu vas faire un scan générique pour voir si une petite infection traine dans le coin.

* Télécharge et installe : Malwarebyte's Anti-Malware 
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée 
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme) 
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher" 
* Sélectionne tes disques durs" puis clique sur "Lancer l'examen" 
* A la fin du scan, clique sur Afficher les résultats 
* Coche tous les éléments détectés puis clique sur Supprimer la sélection 
* Enregistre le rapport 
* S'il t'est demandé de redémarrer, clique sur Yes 
* Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.) 
* Si tu as besoin d'aide regarde ce tutorial  
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

pitimoi · Answer

D'accord, je m'exécute ... mais pendant l'analyse, Avira c'est manifesté 2 fois : 
http://www.hostingpics.net/viewer.php?id=133275631.png 
http://www.hostingpics.net/viewer.php?id=941546172.png 



MBAB tourne toujours !


edit : 
j'ai eu 2 ou 3 alertes pour
1)tr/nymaim.a.
2)tr/ransom.blocker.cfhm
Avira m'a proposé de supprimé, chose que j'ai fait à chaque fois

pitimoi · Answer

Voilà le rapport : https://pjjoint.malekal.com/files.php?id=20130511_q15i6n13r11e10

Aucune action effectuée, j'ai gardé MBAB ouvert et reste dans l'attente de consignes :)
Merci bien !

Utilisateur anonyme · Answer

supprime tous les éléments trouvé par MBAM.
Postes le rapport.

Aprés et seulement aprés fais rogue killer.


* Télécharger sur le bureau RogueKiller (par tigzy)
* Quitter tous les programmes en cours
* Lancer RogueKiller.exe.
* Attendre la fin du Prescan ...
* Cliquer sur Scan.
* A la fin du scan Cliquer sur Rapport et copier coller le contenu du notepad dans ta réponse

pitimoi · Answer

1) MBAM rapport : https://pjjoint.malekal.com/files.php?id=20130511_y11s6y14d5t15

2) RK rapport : https://pjjoint.malekal.com/files.php?id=20130511_x9f13z8w14b14
+ création d'un dossier "RK_Quarantine" sur le bureau
+ ouverture de cette page internet (http://tigzyrk.blogspot.fr/2011/09/rootkit-zeroaccess-max.html)

Merci !

Utilisateur anonyme · Answer

* ReLancer RogueKiller.exe.
* Attendre la fin du Prescan ...
* Cliquer sur Scan.
* A la fin du scan Cliquer sur Rapport et copier coller le contenu du notepad dans ta réponse

* Aller Dans l'onglet "Registre", vérifie que toutes les lignes sont cochées
* Cliquer sur Suppression.
* Cliquer sur Rapport et copier coller le contenu du notepad

pitimoi · Answer

Voiciiiiiiii après suppression :
https://pjjoint.malekal.com/files.php?id=20130511_s8t5j10c9x7

Je repasse un coup de MBAB ?

Utilisateur anonyme · Answer

Je repasse un coup de MBAB ?
Non pas dans l'immédiat.

* Télécharge OTL sur ton bureau.

* Fais un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure toi d'avoir fermé toutes les applications en court de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal" soit cochée.

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"


netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
explorer.exe
winlogon.exe
userinit.exe
wininit.exe
consrv.dll
/md5stop
%systemroot%\system32\consrv.dll 
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
nslookup www.google.fr /c
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
SAVEMBR:0 
CREATERESTOREPOINT



* Cliques sur l'icône "Analyse" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).
* Héberge le ou les rapports sur le site  pjjoint.malekal.com ou cijoint.fr ou toofiles , puis copie/colle le ou les  liens fournit dans ta prochaine réponse sur le forum   

PS:Tu peux  retrouver les rapports dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

pitimoi · Answer

OTL : https://pjjoint.malekal.com/files.php?id=20130512_x10s14e116b10
et son "extras" : https://pjjoint.malekal.com/files.php?id=20130512_r14o11d15l12d6

J'attends attentivement pour la suite, merci ! :)

Utilisateur anonyme · Answer

relançe OTL .
Fais un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur" 

Copies et colles le contenue de cette citation (en commençant bien à :OTL , les : inclus devant OTL) dans la partie inférieure d'OTL sous "Personalisation" et cette fois ci clic CORRECTION:

:OTL
[2013/05/07 13:18:14 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\All Users\Application Data\Tya1Uk1.dat
[2013/05/07 13:18:00 | 000,000,001 | ---- | C] () -- C:\Documents and Settings\All Users\Application Data\7C3Ia68x.exe_.b
[2013/05/07 13:18:00 | 000,000,001 | ---- | C] () -- C:\Documents and Settings\All Users\Application Data\7C3Ia68x.exe.b
[2013/05/09 12:53:00 | 000,000,000 | ---- | M] () -- C:\Documents and Settings\All Users\Application Data\Tya1Uk1.dat
[2013/05/07 13:18:00 | 000,000,001 | ---- | M] () -- C:\Documents and Settings\All Users\Application Data\7C3Ia68x.exe_.b
[2013/05/07 13:18:00 | 000,000,001 | ---- | M] () -- C:\Documents and Settings\All Users\Application Data\7C3Ia68x.exe.b
   
:commands
[EmptyTemp]
[EmptyFlash]
[CREATERESTOREPOINT]
[ResetHosts]
[Reboot]


===>Copie_colle le contenu du rapport texte qui apparrait au redemarrage du pc .
                           
 Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un

pitimoi · Answer

https://pjjoint.malekal.com/files.php?id=20130512_z9b14p9v8n13

merci :)

Utilisateur anonyme · Answer

Tu as encore les alertes?

pitimoi · Answer

Plus d'alerte, ça semble aller beaucoup mieux.
Un immense merci pour ton suivi, ta disponibilité et pour le temps accorde !

Utilisateur anonyme · Answer

Ton pc est maintenant propre. 
Voici quelques conseils. 



* Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur firefox Une fois que c'est fait, lance le et installe l' extension de sécurité suivantes pour bloquer les publicités: adblock plus 

* WOT - Extension pour ton navigateur internet :  
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :  
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/  
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp   
=============================================
Je conseille de mettre a jour internet explorer  même  si vous ne l'utilisé  jamais. Les MAJ  systéme se font par le biais de IE. Par conséquent on évite les failles de sécurité. 
* Télécharger  IE9 : ici 
=============================================
OpenOffice n'est pas a jour.Je te propose d'installer la derniere version sur le site officiel 
=============================================
Java n'est pas à jour, c'est une faille de sécurité.  
1. Tu dois en premier désinstaller l'ancienne version . 
2.  Ouvre le menu démarrer  
3. Clic sur panneau de configuration  
4. Rends toi a  ajout/suppression de programmes  
5.  Sélectionne toutes les versions de java présentes et désinstalles les. 
6. Ensuite, télécharges et installes la nouvelle version de  java (n'installes pas la barre d'outil proposée lors de l'installation) 

==============================================
Adobe Reader n'est pas à jour , c'est une faille de sécurité.
1. Désinstalles le en allant dans menu démarrer
2. Clic sur panneau de configuration
3. Rends-toi à ajout/suppression de programmes.
4. Télécharges et installes la nouvelle version. https://acrobat.adobe.com/fr/fr/acrobat/pdf-reader.html

Décoches :McAfee® Security Scan Plus gratuit (en option)


Pour diminuer les risques, il est conseillé de désactiver l'interprétation du Javascript dans Adobe Reader sur votre ordinateur .Pour cela :

* Lancez Adobe Reader
* Cliquez sur Edition --> Préférences --> JavaScript
* Décochez "Activer Acrobat JavaScript"
* Validez 
==============================================
Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : Update Checker https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour  
Installe le avec les paramètres par défaut en cliquant chaques fois sur Suivant.  

 Une fois installé, patiente quelques secondes et tu verras apparaître une icône verte dans ta barre des tâches te signalant qu'il y a des mises à jour disponibles.  

Double-cliques sur l'icône pour être redirrigé sur le site de téléchargement des mises à jour.  

* Un conseil : n'installe pas les BETA  
                               =================================== 
Tu peux garder MalwareBytes Anti-Malware pour faire des scans une fois /mois.
Pense a le mettre a jour avant chaque scan.


===============================================
Pour éliminer les programmes de désinfections. 

* Téléchargez : DelFix sur votre bureau.
* Lancez le, cliquez sur suppression.
* Patientez pendant le scan jusqu'à l'ouverture du rapport.
* Postez le contenu du rapport dans votre prochaine réponse sur le forum.

* Note : Le rapport se trouve sous C:\DelFixSearch.

===============================================
Désactive et réactive la Restauration du système sous windows xp. 
Le fait de faire cette manipulation va supprimer tous les virus qui auraient pu se loger dans les  
points de restauration que tu avais créé auparavant.. Il est donc recommandé de la faire :  
[1]   Dans la barre des tâches de Windows, clique sur Démarrer.  
[2]   Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés.  
[3 ]  Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système"  
[4 ]  Clique sur Appliquer.  
[5 ]  Ensuite décoche "Désactiver la restauration du systeme"  
[6 ]  clique sur appliquer puis ok  
[7 ]  vas créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du systeme => créer un point de restauration => tu mets un nom :(exemple :fin de désinfections) puis tu valides.  
[8]Pensé  a vider la corbeille. 

==================================================
Attention,  aux idées reçues :

Ne jamais avoir deux anti-virus avec la protection en temps réelle activée, c'est la meilleure façon de créer des conflits. Plusieurs anti-virus actifs peuvent s'entraver, et, au final, le PC que l'on croyait plus sécurisé devient une vraie passoire...

Les anti-spywares ne servent à rien et n'oublie pas que la meilleure manière de protéger ton ordinateur c'est toi !
================================================
Tu peux mettre ton problème en résolu !!https://www.commentcamarche.net/infos/25917-forum-ccm-mode-d-emploi-marquer-mon-sujet-comme-resolu/

TR/Dropper.gen : comment nettoyer mon pc de cette infection ?

26 réponses

Discussions similaires

Newsletters