Infection Win32 downloader.gen

Résolu
JD64 Messages postés 70 Statut Membre -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour à tous,

Mon pc bug au démarrage. Aucune icônes ne s'affichaient sur l'ecran de demarrage. Obliger de rédemarrer à chaque fois.
Le ventilo faisait des pics d'accélération avec l'UC à 100%..

J'ai fait un scan avec avira/spybot/malwarebyte en mode sans échec.
Spybot a trouve des fichiers infecté avec Win32 downloader.gen et les a supprimé.

Ca à l'air d'être rentré dans l'ordre. Mais je voudrais être sur ne pas avoir d'autres virus et de repartir sur une config saine.

Des suggestions?

12 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Désinstalle Spybot sert à rien.
    Pas efficace.

    C'est détecté dans quel fichier ?
    0
  2. JD64 Messages postés 70 Statut Membre 2
     
    Merci de me répondre Malékal,

    Aucune, j'ai pas gardé le rapport.
    T'as d'autres logiciel à me conseille pour remplacer spybot?
    0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
    !!! Malwarebyte doit être à jour avant de faire le scan !!!
    Coche tout ce qui est détecté - puis bouton supprimer sélection pour tout supprimer.

    0
  4. JD64 Messages postés 70 Statut Membre 2
     
    J'avais deja fais une analyse compléte en mode sans echec, qui n'avait rien donné.
    Voila le rapport :
    Windows XP Service Pack 3 x86 NTFS
    Internet Explorer 6.0.2900.5512
    :: PCJD [administrateur]

    22/09/2013 17:01:12
    MBAM-log-2013-09-22 (17-14-29).txt

    Type d'examen: Examen rapide
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | PUP | PUM
    Options d'examen désactivées: Heuristique/Shuriken | P2P
    Elément(s) analysé(s): 256716
    Temps écoulé: 12 minute(s), 59 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 2
    C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
    C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data (PUP.Optional.PriceGong.A) -> Aucune action effectuée.

    Fichier(s) détecté(s): 28
    C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\1.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
    C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\a.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
    C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\b.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
    C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\c.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
    C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\d.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
    C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\e.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
    C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\f.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
    C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\g.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
    C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\h.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
    C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\i.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
    C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\j.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
    C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\k.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
    C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\l.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
    C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\m.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
    C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\n.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
    C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\o.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
    C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\p.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
    C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\q.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
    C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\r.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
    C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\s.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
    C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\t.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
    C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\u.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
    C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\v.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
    C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\w.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
    C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\wlu.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
    C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\x.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
    C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\y.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
    C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\z.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Télécharge https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= AdwCleaner ( d'Xplode ) sur ton bureau.
    Sur la page d'AdwCleaner, à droite, clic sur la disquette grise avec la flèche verte pour lancer le téléchargement.
    Lance AdwCleaner, clique sur [Scanner].
    Le scan peux durer plusieurs minutes, patienter.
    Une fois le scan terminé, clique sur [Nettoyer]

    Une fois le nettoyage terminéi, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
    Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    puis :

    Sur Firefox : Menu Outils / Modules complémentaires
    Onglet Extension.
    Donne la liste.

    Sur Google Chrome : Menu en haut à droite puis Outils / Extensions
    Donne la liste.

    0
  7. JD64 Messages postés 70 Statut Membre 2
     
    Voila :
    # AdwCleaner v3.004 - Rapport créé le 22/09/2013 à 19:27:06
    # Mis à jour le 15/09/2013 par Xplode
    # Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
    # Nom d'utilisateur : EZPONDA Jean-David - PCJD
    # Exécuté depuis : C:\Documents and Settings\EZPONDA Jean-David\Mes documents\Téléchargements\adwcleaner.exe
    # Option : Nettoyer

    ***** [ Services ] *****

    ***** [ Fichiers / Dossiers ] *****

    Dossier Supprimé : C:\Program Files\cacaoweb
    Dossier Supprimé : C:\Program Files\Conduit
    Dossier Supprimé : C:\Program Files\DAEMON Tools Toolbar
    Dossier Supprimé : C:\Program Files\Protection_ZoneAlarm
    Dossier Supprimé : C:\Documents and Settings\EZPONDA Jean-David\Local Settings\Application Data\Protection_ZoneAlarm
    Dossier Supprimé : C:\Documents and Settings\EZPONDA Jean-David\Application Data\cacaoweb
    Dossier Supprimé : C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong
    Dossier Supprimé : C:\Documents and Settings\EZPONDA Jean-David\Application Data\Mozilla\Firefox\Profiles\46a9log6.default\ConduitCommon
    Dossier Supprimé : C:\Documents and Settings\EZPONDA Jean-David\Application Data\Mozilla\Firefox\Profiles\46a9log6.default\Extensions\cacaoweb@cacaoweb.org
    Dossier Supprimé : C:\Documents and Settings\EZPONDA Jean-David\Application Data\Mozilla\Firefox\Profiles\46a9log6.default\Extensions\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}
    Fichier Supprimé : C:\WINDOWS\system32\conduitEngine.tmp
    Fichier Supprimé : C:\Documents and Settings\EZPONDA Jean-David\Application Data\Mozilla\Firefox\Profiles\46a9log6.default\searchplugins\daemon-search.xml

    ***** [ Raccourcis ] *****

    ***** [ Registre ] *****

    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\grusskartencenter.com
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\grusskartencenter.com
    Clé Supprimée : HKCU\Toolbar
    Clé Supprimée : HKLM\SOFTWARE\Classes\Conduit.Engine
    Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\cacaoweb
    Clé Supprimée : HKLM\SOFTWARE\MozillaPlugins\@checkpoint.com/FFApi
    Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2613520
    Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2645238
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{D7F26D0E-9801-45C3-A091-8A65E4ED73B5}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A7BD8FFF-DF15-4571-A7A4-8A5C36E4EA72}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{2356DB37-71A4-4A09-9696-43AE8AB7AFB0}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D7F26D0E-9801-45C3-A091-8A65E4ED73B5}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{32099AAC-C132-4136-9E9A-4E364A424E17}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D7F26D0E-9801-45C3-A091-8A65E4ED73B5}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{2356DB37-71A4-4A09-9696-43AE8AB7AFB0}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{1429D1D7-DDBB-480B-921F-26C3A14830C0}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{3037C09D-0737-4486-890F-2096B2033CA5}
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4FC7-90CC-5EA0ABBE9EB8}
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
    Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{D7F26D0E-9801-45C3-A091-8A65E4ED73B5}]
    Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{30F9B915-B755-4826-820B-08FBA6BD249D}]
    Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{32099AAC-C132-4136-9E9A-4E364A424E17}]
    Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D7F26D0E-9801-45C3-A091-8A65E4ED73B5}]
    Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{D7F26D0E-9801-45C3-A091-8A65E4ED73B5}]
    Valeur Supprimée : HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List [C:\Program Files\cacaoweb\cacaoweb.exe]
    Clé Supprimée : HKCU\Software\cacaoweb
    Clé Supprimée : HKCU\Software\Conduit
    Clé Supprimée : HKCU\Software\PriceGong
    Clé Supprimée : HKCU\Software\SmartBar
    Clé Supprimée : HKCU\Software\Softonic
    Clé Supprimée : HKCU\Software\Toolbar
    Clé Supprimée : HKCU\Software\YahooPartnerToolbar
    Clé Supprimée : HKCU\Software\Protection_ZoneAlarm
    Clé Supprimée : HKLM\Software\Conduit
    Clé Supprimée : HKLM\Software\Protection_ZoneAlarm
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Protection_ZoneAlarm Toolbar

    ***** [ Navigateurs ] *****

    -\\ Internet Explorer v6.0.2900.5512

    Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Start Page]

    -\\ Mozilla Firefox v23.0.1 (fr)

    [ Fichier : C:\Documents and Settings\EZPONDA Jean-David\Application Data\Mozilla\Firefox\Profiles\46a9log6.default\prefs.js ]

    *************************

    AdwCleaner[R0].txt - [5677 octets] - [22/09/2013 19:14:04]
    AdwCleaner[S0].txt - [5539 octets] - [22/09/2013 19:27:06]

    ########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [5599 octets] ##########

    Module de firefox
    Adblock plus
    Downloadhelper
    Firedownload
    Grooveshredder
    Adobe dlm (desactivé)
    Avira search free toolbar (desactivé)
    Microsoft.net framework assistant (desactivé)
    Zone alarm securityengine (desactivé)
    0
  8. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
    Fournir les deux rapports :

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

    * Lance OTL
    * En haut à droite de Analyse rapide, coche "tous les utilisateurs"
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\*.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\consrv.dll
    %systemroot%\system32\*.dll /lockedfiles
    %windir%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    services.exe
    wininit.exe
    /md5stop
    HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
    HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
    HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
    CREATERESTOREPOINT
    nslookup https://www.google.fr/?gws_rd=ssl /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs

    * Clique sur le bouton Analyse.

    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
    Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
    Je répète : donne le lien du rapport pjjoint ici en réponse.

    NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

    0
  9. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Ca donne quoi ?

    Si ça continue désinstalle ZoneAlarm.
    0
  10. JD64 Messages postés 70 Statut Membre 2
     
    J'ai pas vu de nouveaux pics de l'UC. Coté démarrage c'est bon, les icones sont la à chaque fois.
    Le scan a donné quoi? Des traces de Downloader.gen ou d'autres malwares?
    0
  11. JD64 Messages postés 70 Statut Membre 2
     
    Merci de ton aide.
    Tu me conseilles quoi comme config antivirus?
    Actuellement j'ai : Antivir/Spybot/Malwarebyte(gratuit) et Zonealarm en pare feu.
    Tu me disais de desinstaller Spybot mais c'est lui qui m'a desinfecté de downloader.gen

    Au fait,je pensais faire une analyse malwarebyte+adwcleaner sur mes disques durs externes, pour ne rien oublier. Ton avis?
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Avast! à la place d'Antivir.
      Spybot sert à rien.
      0