TR/Dropper.gen : comment nettoyer mon pc de cette infection ?

pitimoi Messages postés 16 Date d'inscription   Statut Membre Dernière intervention   -  
 Utilisateur anonyme -
Bonjour à tous,

de retour à la maison familliale, je vois que le pc de tous a été contaminé.
Avira me signale "TR/Dropper.gen" (avec de nombreux proccessus poubelle en même temps).

J'ai recherché par moi-même avant ... comme d'hab... mais là ça a dépassé mes compétences de bases.

Si l'un d'entre-vous aurait l'amabilité de me guider tout au long de la desinfection du PC (XP PRO)... je serais un élève discipliné !

Merci par avance la communauté :)

26 réponses

  • 1
  • 2
  1. Utilisateur anonyme
     
    Bonjour

    On va faire une analyse de ton systéme.

    * Télécharge ZHPDiag ( de Nicolas coolman ).
    ou
    ZHPDiag
    ou
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Ou le lien FTP en secours :
    ftp://zebulon.fr/ZHPDiag2.exe

    ***********************
    /!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, (icône en forme de parchemin) exécuter en tant qu'Administrateur /!\
    * Laisse toi guider lors de l'installation
    * Il se lancera automatiquement à la fin de l'installation
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Héberge le rapport ZHPDiag.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
    0
  2. Utilisateur anonyme
     
    A l'avenir oublis uTorrent et le risque d'étre virusé sera réduit ;)
    Profites en pour supprimer Spybot - Search & Destroy .Il est devenu obsoléte.

    Télécharges ce fichier:

    ====> pitimoi.zip <====

    * Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination
    *Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
    * Fais un glisser/déposer du fichier téléchargé ou copie/colle les lignes dans la partie blanche de Zhpfix
    *Clique sur le bouton « GO » pour lancer le nettoyage,
    *Copie/colle la totalité du rapport dans ta prochaine réponse

    ========================================================

    * Télécharge AdwCleaner sur ton Bureau. (Merci à Xplode)

    *Double-clique sur l'icône AdwCleaner située sur ton Bureau.
    *Sur la page, clique sur le bouton «Suppression»
    *Laisse travailler l'outil.
    *Poste le rapport qui apparaît à la fin.
    (Le rapport est sauvegardé aussi sous C:\ AdwCleaner[SX].Txt)

    0
  3. pitimoi Messages postés 16 Date d'inscription   Statut Membre Dernière intervention  
     
    1) uTorrent et Spybot S&D supprimés (merci de la mise à jour haha)

    2) ZHPFix
    J'ai lancé le nettoyage une fois hier soir ... c'était long ... très long ... "traitement en cours" pendant plus de 16h. Donc j'ai craqué, je me disais que ça avançait plus (le proccessus était inactif dans le gestionnaire des taches) ; alors j'ai quitté.

    J'ai lancé le nettoyage une seconde fois ce midi ... durée du traitement de 1mn.

    Tu trouveras ici les 2 rapports (bien que le 2nd me semble bien plus pertinent) :
    n°1 : https://pjjoint.malekal.com/files.php?id=20130509_5d10f11d8x6
    n°2 : https://pjjoint.malekal.com/files.php?id=20130509_o11p5r6t9f10

    3) AdwCleaner : sans soucis, voici le rapport -
    https://pjjoint.malekal.com/files.php?id=20130509_z10b12o5s5r6

    Merciiiiiii mille fois !
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Utilisateur anonyme
     
    On va faire une vérification .
    Post un nouveau rapport zhpdiag.
    Ouvres zhpdiag et clic sur la flèche verte pour faire la mise a jour du programme.Si mise a jour installes la.
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    Héberge le rapport ZHPDiag.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
    0
  6. Utilisateur anonyme
     
    * rends toi sur ce site : https://www.virustotal.com/gui/
    ==>Analyse ce fichier:
    ----------------------------------------------------------------------
    C:\Documents and Settings\All Users\Application Data\7C3Ia68x.exe

    ----------------------------------------------------------------------
    * Cliquez sur "Choose File".. :
    * Sélectionnez le fichier que vous voulez analyser et cliquez sur Ouvrir :
    * Cliquez ensuite sur "Scan It":

    s'il a déjà été analysé, demande une nouvelle analyse.

    * Copies le lien dans la barre d'adresse de la page VirusTotal et colles ce même lien dans ta prochaine réponse .
    0
  7. Utilisateur anonyme
     
    1/ Copie/colle les lignes suivantes en gras:
    2/Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
    3/Tu dois a présent apercevoir les lignes ci-dessus dans le cadre blanc de ZHPFix

    ----------------------------------------------------------
    [MD5.C414077701A53195C61CBE58E842050A] [SPRF][07/05/2013] (...) -- C:\Documents and Settings\All Users\Application Data\7C3Ia68x.exe [154624]

    --------------------------------------------------------

    - Clique sur le bouton « GO » pour lancer le nettoyage,
    - Copie/colle la totalité du rapport dans ta prochaine réponse
    0
  8. pitimoi Messages postés 16 Date d'inscription   Statut Membre Dernière intervention  
     
    Rapport de ZHPFix 2013.3.9.1 par Nicolas Coolman, Update du 9/03/2013
    Fichier d'export Registre :
    Run by Utilisateur at 10/05/2013 22:50:46
    High Elevated Privileges : OK
    Windows XP Professional Service Pack 3 (Build 2600)

    Corbeille vidée

    ========== Processus mémoire ==========
    SUPPRIME Memory Process: C:\Documents and Settings\All Users\Application Data\7C3Ia68x.exe

    ========== Fichier(s) ==========
    SUPPRIME File***: c:\documents and settings\all users\application data\7c3ia68x.exe

    ========== Récapitulatif ==========
    1 : Processus mémoire
    1 : Fichier(s)

    End of clean in 00mn 00s

    ========== Chemin de fichier rapport ==========
    C:\ZHP\ZHPFix[R1].txt - 09/05/2013 21:13:09 [420]
    C:\ZHP\ZHPFix[R2].txt - 09/05/2013 11:53:01 [7553]
    C:\ZHP\ZHPFix[R3].txt - 10/05/2013 22:50:46 [767]
    0
  9. Utilisateur anonyme
     
    Tu as toujours les détections de ton antivirus?
    0
  10. pitimoi Messages postés 16 Date d'inscription   Statut Membre Dernière intervention  
     
    Alors alors,

    hier soir j'ai eu une alerte en me rendant le répertoire où ce situait le fichier infecté (scan en temps réel) => action : mise en quarantaine

    puis apres j'ai effectué mon scan intégral antivirus avec Avira. RAS.

    Ton avis ?
    Merci !
    0
  11. Utilisateur anonyme
     
    Tu vas faire un scan générique pour voir si une petite infection traine dans le coin.

    * Télécharge et installe : Malwarebyte's Anti-Malware
    * A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
    * Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
    * Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
    * Sélectionne tes disques durs" puis clique sur "Lancer l'examen"
    * A la fin du scan, clique sur Afficher les résultats
    * Coche tous les éléments détectés puis clique sur Supprimer la sélection
    * Enregistre le rapport
    * S'il t'est demandé de redémarrer, clique sur Yes
    * Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.)
    * Si tu as besoin d'aide regarde ce tutorial
    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    0
  12. pitimoi Messages postés 16 Date d'inscription   Statut Membre Dernière intervention  
     
    D'accord, je m'exécute ... mais pendant l'analyse, Avira c'est manifesté 2 fois :
    http://www.hostingpics.net/viewer.php?id=133275631.png
    http://www.hostingpics.net/viewer.php?id=941546172.png

    MBAB tourne toujours !

    edit :
    j'ai eu 2 ou 3 alertes pour
    1)tr/nymaim.a.
    2)tr/ransom.blocker.cfhm
    Avira m'a proposé de supprimé, chose que j'ai fait à chaque fois
    0
  13. Utilisateur anonyme
     
    supprime tous les éléments trouvé par MBAM.
    Postes le rapport.

    Aprés et seulement aprés fais rogue killer.

    * Télécharger sur le bureau RogueKiller (par tigzy)
    * Quitter tous les programmes en cours
    * Lancer RogueKiller.exe.
    * Attendre la fin du Prescan ...
    * Cliquer sur Scan.
    * A la fin du scan Cliquer sur Rapport et copier coller le contenu du notepad dans ta réponse

    0
  14. Utilisateur anonyme
     
    * ReLancer RogueKiller.exe.
    * Attendre la fin du Prescan ...
    * Cliquer sur Scan.
    * A la fin du scan Cliquer sur Rapport et copier coller le contenu du notepad dans ta réponse

    * Aller Dans l'onglet "Registre", vérifie que toutes les lignes sont cochées
    * Cliquer sur Suppression.
    * Cliquer sur Rapport et copier coller le contenu du notepad
    0
  15. Utilisateur anonyme
     
    Je repasse un coup de MBAB ?
    Non pas dans l'immédiat.

    * Télécharge OTL sur ton bureau.

    * Fais un double-clic sur l'icône d'OTL pour le lancer
    /!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

    * Assure toi d'avoir fermé toutes les applications en court de fonctionnement.

    * Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal" soit cochée.

    * Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %SYSTEMDRIVE%\*.exe
    /md5start
    explorer.exe
    winlogon.exe
    userinit.exe
    wininit.exe
    consrv.dll
    /md5stop
    %systemroot%\system32\consrv.dll
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    nslookup www.google.fr /c
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    SAVEMBR:0
    CREATERESTOREPOINT


    * Cliques sur l'icône "Analyse" (en haut à gauche) .
    * Laisse le scan aller à son terme sans te servir du PC
    * A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).
    * Héberge le ou les rapports sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles , puis copie/colle le ou les liens fournit dans ta prochaine réponse sur le forum

    PS:Tu peux retrouver les rapports dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
    0
  • 1
  • 2