comment enlever Trojan.Generic KDZ.21983 Résolu/Fermé

Question

Bonjour, 



Configuration: Windows XP / Firefox 21.0

Mon PC ne démarre plus qu'en mode sans échec. Après avoir fait tourné Bitdefender en ligne, il semble que mon PV soit infecté par  Trojan.Generic KDZ.21983

Merci de m'indiquer la marche à suivre pour m'en débarrasser et retrouver un fonctionnement normal

Utilisateur anonyme · Answer

bonjour,

ceci est arrivé depuis quand ?

Malekal_morte- · Answer

Salut,

Détecté dans quel fichier ?

nirom · Answer

Je ne sais pas dans quel fichier car j'ai utilisé l'antivirus en ligne. Je viens de le refaire et il trouve aussi Gen:Variant.Symmi.22749
Je suis en train de scanner avec trend micro housecall

nirom · Answer

Je n'arrive pas à récupérer le rapport

c'est dans le fichier c:\documents and settings\caroline\application data\zafou\yqsah.exe

Malekal_morte- · Answer

ok je confirme, c'est mal.
Laisse tomber tes scans antivirals.

~~

Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.  
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).  
Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt  

puis :

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt 
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\*.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%systemroot%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe   
wininit.exe   
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT   
nslookup www.google.fr /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs    



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

nirom · Answer

après désinfection par l'antivirus

rapport adwcleaner :

# AdwCleaner v2.303 - Rapport créé le 23/06/2013 à 19:57:31
# Mis à jour le 08/06/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Caroline - 47E1005DA28D46E
# Mode de démarrage : Mode sans échec avec prise en charge réseau
# Exécuté depuis : C:\Documents and Settings\Caroline\Mes documents\Téléchargements\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\Babylon
Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\Tarma Installer
Dossier Supprimé : C:\Documents and Settings\Caroline\Application Data\Babylon
Dossier Supprimé : C:\Documents and Settings\Caroline\Local Settings\Application Data\Babylon

***** [Registre] *****

Clé Supprimée : HKLM\Software\AedgePerformanceBCN
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\063A857434EDED11A893800002C0A966

***** [Navigateurs] *****

-\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v21.0 (fr)

Fichier : C:\Documents and Settings\Caroline\Application Data\Mozilla\Firefox\Profiles\yes2qu0p.default\prefs.js

C:\Documents and Settings\Caroline\Application Data\Mozilla\Firefox\Profiles\yes2qu0p.default\user.js ... Supprimé !

[OK] Le fichier ne contient aucune entrée illégitime.

-\ Google Chrome v27.0.1453.110

Fichier : C:\Documents and Settings\Caroline\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [1747 octets] - [23/06/2013 19:57:31]

########## EOF - C:\AdwCleaner[S1].txt - [1807 octets] ##########

nirom · Answer

liens des rapports otl :
https://pjjoint.malekal.com/files.php?id=OTL_20130623_c9q15h5p11k11
https://pjjoint.malekal.com/files.php?id=OTL_Extras_20130623_j12l5q5d6i5

Malekal_morte- · Answer

Relance OTL. 
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  

:OTL
O4 - HKLM..\Run: [ActiveUpdate] C:\Program Files\Common Files\ActiveU0\jwvpjsnjb.exe (Listenerine)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Documents and Settings\All Users\svchost.exe ()
O4 - HKU\S-1-5-21-73586283-813497703-839522115-1005..\Run: [Abicz] C:\Documents and Settings\Caroline\Application Data\Zafou\yqsah.exe File not found 
O4 - HKU\S-1-5-21-73586283-813497703-839522115-1005..\Run: [ActiveUpdate] C:\Program Files\Common Files\ActiveU0\jwvpjsnjb.exe (Listenerine)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 15115 = c:\docume~1\alluse~1\dxhdairr.exe ()
[2013/06/18 21:28:23 | 000,000,112 | ---- | C] () -- C:\Documents and Settings\All Users\Application Data\368AAb.dat
[2004/08/05 14:00:00 | 000,099,754 | -HS- | C] () -- C:\Documents and Settings\All Users\dxhdairr.exe 
[2004/08/05 14:00:00 | 000,099,754 | -HS- | C] () -- C:\Documents and Settings\All Users\dxfouuqup.exe
[2013/06/20 10:36:57 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Caroline\Application Data\Ogga 
[2013/06/18 21:26:23 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Caroline\Application Data\Pyyb
[2013/06/19 10:12:41 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Caroline\Application Data\Suyk 
[2013/06/20 10:36:57 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Caroline\Application Data\Teqy
[2013/06/21 09:59:41 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Caroline\Application Data\Vabiy 
[2013/06/23 10:58:43 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Caroline\Application Data\vlc  
[2013/06/20 10:36:57 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Caroline\Application Data\Ycdei 
[2013/06/19 10:12:41 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Caroline\Application Data\Yrug 
[2013/06/23 19:45:24 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Caroline\Application Data\Zafou
[2013/06/18 21:28:31 | 000,220,313 | -HS- | M] (GreenMind Association ffff) -- C:\DOCUME~1\Caroline\LOCALS~1\Temp\1378902243.exe 
[2013/06/18 21:28:30 | 000,220,313 | -HS- | M] (GreenMind Association ffff) -- C:\DOCUME~1\Caroline\LOCALS~1\Temp\1378903300.exe 
[2013/06/18 21:28:33 | 000,220,313 | -HS- | M] (GreenMind Association ffff) -- C:\DOCUME~1\Caroline\LOCALS~1\Temp\1378909616.exe 
[2013/06/18 21:28:14 | 000,220,313 | -HS- | M] (GreenMind Association ffff) -- C:\DOCUME~1\Caroline\LOCALS~1\Temp\1378910064.exe 
[2013/06/18 21:27:08 | 000,220,313 | -HS- | M] (GreenMind Association ffff) -- C:\DOCUME~1\Caroline\LOCALS~1\Temp\1379081018.exe 
[2013/06/18 21:27:08 | 000,220,313 | -HS- | M] (GreenMind Association ffff) -- C:\DOCUME~1\Caroline\LOCALS~1\Temp\1379081205.exe 
[2013/06/18 21:27:36 | 000,220,313 | -HS- | M] (GreenMind Association ffff) -- C:\DOCUME~1\Caroline\LOCALS~1\Temp\1379117593.exe
[2013/06/20 17:20:43 | 000,000,239 | ---- | M] () -- C:\DOCUME~1\Caroline\LOCALS~1\Temp\kbqicmzlcbf.exe 
[2013/06/20 17:20:51 | 000,000,238 | ---- | M] () -- C:\DOCUME~1\Caroline\LOCALS~1\Temp\ogtrmuallix.exe
:files
C:\WINDOWS	asks\*.job 

* redemarre le pc sous windows et poste le rapport ici 



~~~

Zip le dossier C:\_OTL 
Ouvre Mon Ordinateur / Poste de travail => Disque C 
Sur le Dossier _OTL : Clic droit / Envoyer vers dossier compressé. 
Cela va créer un fichier C:\_OTL.zip 
Envoie ce fichier _OTL.zip sur http://upload.malekal.com

nirom · Answer

========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ActiveUpdate deleted successfully.
C:\Program Files\Common Files\ActiveU0\jwvpjsnjb.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\SunJavaUpdateSched deleted successfully.
C:\Documents and Settings\All Users\svchost.exe moved successfully.
Registry value HKEY_USERS\S-1-5-21-73586283-813497703-839522115-1005\Software\Microsoft\Windows\CurrentVersion\Run\Abicz deleted successfully.
Registry value HKEY_USERS\S-1-5-21-73586283-813497703-839522115-1005\Software\Microsoft\Windows\CurrentVersion\Run\ActiveUpdate deleted successfully.
File C:\Program Files\Common Files\ActiveU0\jwvpjsnjb.exe not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\15115 deleted successfully.
c:\Documents and Settings\All Users\dxhdairr.exe moved successfully.
C:\Documents and Settings\All Users\Application Data\368AAb.dat moved successfully.
File C:\Documents and Settings\All Users\dxhdairr.exe not found.
C:\Documents and Settings\All Users\dxfouuqup.exe moved successfully.
C:\Documents and Settings\Caroline\Application Data\Ogga folder moved successfully.
C:\Documents and Settings\Caroline\Application Data\Pyyb folder moved successfully.
C:\Documents and Settings\Caroline\Application Data\Suyk folder moved successfully.
C:\Documents and Settings\Caroline\Application Data\Teqy folder moved successfully.
C:\Documents and Settings\Caroline\Application Data\Vabiy folder moved successfully.
C:\Documents and Settings\Caroline\Application Data\vlc folder moved successfully.
C:\Documents and Settings\Caroline\Application Data\Ycdei folder moved successfully.
C:\Documents and Settings\Caroline\Application Data\Yrug folder moved successfully.
C:\Documents and Settings\Caroline\Application Data\Zafou folder moved successfully.
C:\Documents and Settings\Caroline\Local Settings\Temp\1378902243.exe moved successfully.
C:\Documents and Settings\Caroline\Local Settings\Temp\1378903300.exe moved successfully.
C:\Documents and Settings\Caroline\Local Settings\Temp\1378909616.exe moved successfully.
C:\Documents and Settings\Caroline\Local Settings\Temp\1378910064.exe moved successfully.
C:\Documents and Settings\Caroline\Local Settings\Temp\1379081018.exe moved successfully.
C:\Documents and Settings\Caroline\Local Settings\Temp\1379081205.exe moved successfully.
C:\Documents and Settings\Caroline\Local Settings\Temp\1379117593.exe moved successfully.
C:\Documents and Settings\Caroline\Local Settings\Temp\kbqicmzlcbf.exe moved successfully.
C:\Documents and Settings\Caroline\Local Settings\Temp\ogtrmuallix.exe moved successfully.
========== FILES ==========
C:\WINDOWS	asks\Adobe Flash Player Updater.job moved successfully.
C:\WINDOWS	asks\AppleSoftwareUpdate.job moved successfully.
C:\WINDOWS	asks\At1.job moved successfully.
C:\WINDOWS	asks\At10.job moved successfully.
C:\WINDOWS	asks\At11.job moved successfully.
C:\WINDOWS	asks\At12.job moved successfully.
C:\WINDOWS	asks\At13.job moved successfully.
C:\WINDOWS	asks\At14.job moved successfully.
C:\WINDOWS	asks\At15.job moved successfully.
C:\WINDOWS	asks\At16.job moved successfully.
C:\WINDOWS	asks\At17.job moved successfully.
C:\WINDOWS	asks\At18.job moved successfully.
C:\WINDOWS	asks\At19.job moved successfully.
C:\WINDOWS	asks\At2.job moved successfully.
C:\WINDOWS	asks\At20.job moved successfully.
C:\WINDOWS	asks\At21.job moved successfully.
C:\WINDOWS	asks\At22.job moved successfully.
C:\WINDOWS	asks\At23.job moved successfully.
C:\WINDOWS	asks\At24.job moved successfully.
C:\WINDOWS	asks\At25.job moved successfully.
C:\WINDOWS	asks\At26.job moved successfully.
C:\WINDOWS	asks\At27.job moved successfully.
C:\WINDOWS	asks\At28.job moved successfully.
C:\WINDOWS	asks\At29.job moved successfully.
C:\WINDOWS	asks\At3.job moved successfully.
C:\WINDOWS	asks\At30.job moved successfully.
C:\WINDOWS	asks\At31.job moved successfully.
C:\WINDOWS	asks\At32.job moved successfully.
C:\WINDOWS	asks\At33.job moved successfully.
C:\WINDOWS	asks\At34.job moved successfully.
C:\WINDOWS	asks\At35.job moved successfully.
C:\WINDOWS	asks\At36.job moved successfully.
C:\WINDOWS	asks\At37.job moved successfully.
C:\WINDOWS	asks\At38.job moved successfully.
C:\WINDOWS	asks\At39.job moved successfully.
C:\WINDOWS	asks\At4.job moved successfully.
C:\WINDOWS	asks\At40.job moved successfully.
C:\WINDOWS	asks\At41.job moved successfully.
C:\WINDOWS	asks\At42.job moved successfully.
C:\WINDOWS	asks\At43.job moved successfully.
C:\WINDOWS	asks\At44.job moved successfully.
C:\WINDOWS	asks\At45.job moved successfully.
C:\WINDOWS	asks\At46.job moved successfully.
C:\WINDOWS	asks\At47.job moved successfully.
C:\WINDOWS	asks\At48.job moved successfully.
C:\WINDOWS	asks\At5.job moved successfully.
C:\WINDOWS	asks\At6.job moved successfully.
C:\WINDOWS	asks\At7.job moved successfully.
C:\WINDOWS	asks\At8.job moved successfully.
C:\WINDOWS	asks\At9.job moved successfully.
C:\WINDOWS	asks\GoogleUpdateTaskMachineCore.job moved successfully.
C:\WINDOWS	asks\GoogleUpdateTaskMachineUA.job moved successfully.
C:\WINDOWS	asks\Microsoft Antimalware Scheduled Scan.job moved successfully.
C:\WINDOWS	asks\MpIdleTask.job moved successfully.
 
OTL by OldTimer - Version 3.2.69.0 log created on 06232013_213950

Malekal_morte- · Answer

Créer un point de restauration : https://www.malekal.com/restauration-systeme-windows/

Télécharge et installe Malwarebyte MBAR : https://www.malekal.com/malwarebytes-anti-rootkit-mbar-beta/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.  
Enregistre le rapport sur http://pjjoint.malekal.com
Donne le lien pjjoint ici.

nirom · Answer

mon pc est sous xp pas sous vista

nirom · Answer

je n'arrive pas à faire de point de restauration, j'ai le message suivant

[URL=http://www.hostingpics.net/viewer.php?id=287704restore.jpg][IMG]http://img15.hostingpics.net/pics/287704restore.jpg[/IMG][/URL]

Malekal_morte- · Answer

ha il dû être viré.
Bha fais le scan direct.

nirom · Answer

https://pjjoint.malekal.com/files.php?id=20130623_z15m12u8q15d14

Malekal_morte- · Answer

Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start= 
Fais skip sur les détections. 
Poste le rapport ici.

~~


Télécharge ici : Gmer (by Przemyslaw Gmerek) et enregistre-le sur ton bureau 

Désactive toutes tes protections le temps du scan de gMer ! 

Double clique sur gmer.exe si tu es sur Windows XP, si tu es sous Vista ou Seven il faut le lancer en clic droit => exécuter en tant qu'administrateur. 

? Dans GMER, développe les onglets avec ">>>" ( illustration ) 

? Rends-toi à Files, développe C:\WINDOWS\system32\ et tu mets en surbrillance nv4_mini.sys puis clique sur Copy, il va te demander où tu veux l'enregistrer et sous quel nom. Indique "testdrv.sys" (avec les guillemets) et enregistre-le sur ton bureau. ( Illustration ) 

? Envoie testcdrom.sys sur https://www.virustotal.com/gui/ 
Si un message te dit que le fichier à déjà été analysé, ré-analyse le 
Copie-colle l'url affichée dans la barre d'adresse de ton navigateur dans ta réponse.

nirom · Answer

rapport tdsskiller

juju666 · Answer

salut

rapport trop long, envoie-le sur http://pjjoint.malekal.com

nirom · Answer

rapport tdsskiller

https://pjjoint.malekal.com/files.php?id=20130624_z10d6j10c14t7

j'ai trouvé le fichier nv4_mini.sys dans windows\systems32\drivers mais je ne peux pas le copier  : fichier ou le répertoire est endommagé et illisible

nirom · Answer

https://pjjoint.malekal.com/files.php?id=20130624_w15z11j15n6x8

Malekal_morte- · Answer

ok la manip avec GMER est pas nécessaire en fait.

Relance TDSSKiller et sur  C:\Documents and Settings\Caroline\Local Settings\Temp\ccydbt.sys
tu fais Delete.

Je pense que ça doit être un driver de DRM de jeux.
Pas malicieux, je pense.

nirom · Answer

c'est fait

Malekal_morte- · Answer

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.


Sécurise ton PC !

Important - ton infection est venue par un exploit sur site web :   

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.  
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.  
Exemple avec : Exploit Java  

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash : 
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite     
https://forum.malekal.com/viewtopic.php?t=15960&start=  

Désactive Java de tes navigateurs WEB  : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis ! 

~~

Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

Comment enlever Trojan.Generic KDZ.21983

22 réponses

Discussions similaires