Infection Win32 downloader.gen

[Résolu/Fermé]
Signaler
Messages postés
69
Date d'inscription
samedi 28 avril 2007
Statut
Membre
Dernière intervention
2 février 2014
-
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
-
Bonjour à tous,

Mon pc bug au démarrage. Aucune icônes ne s'affichaient sur l'ecran de demarrage. Obliger de rédemarrer à chaque fois.
Le ventilo faisait des pics d'accélération avec l'UC à 100%..

J'ai fait un scan avec avira/spybot/malwarebyte en mode sans échec.
Spybot a trouve des fichiers infecté avec Win32 downloader.gen et les a supprimé.

Ca à l'air d'être rentré dans l'ordre. Mais je voudrais être sur ne pas avoir d'autres virus et de repartir sur une config saine.

Des suggestions?

12 réponses

Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 199
Salut,

Désinstalle Spybot sert à rien.
Pas efficace.

C'est détecté dans quel fichier ?
Messages postés
69
Date d'inscription
samedi 28 avril 2007
Statut
Membre
Dernière intervention
2 février 2014
2
Merci de me répondre Malékal,

Aucune, j'ai pas gardé le rapport.
T'as d'autres logiciel à me conseille pour remplacer spybot?
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 199
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Coche tout ce qui est détecté - puis bouton supprimer sélection pour tout supprimer.

Messages postés
69
Date d'inscription
samedi 28 avril 2007
Statut
Membre
Dernière intervention
2 février 2014
2
J'avais deja fais une analyse compléte en mode sans echec, qui n'avait rien donné.
Voila le rapport :
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
:: PCJD [administrateur]

22/09/2013 17:01:12
MBAM-log-2013-09-22 (17-14-29).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | PUP | PUM
Options d'examen désactivées: Heuristique/Shuriken | P2P
Elément(s) analysé(s): 256716
Temps écoulé: 12 minute(s), 59 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 2
C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data (PUP.Optional.PriceGong.A) -> Aucune action effectuée.

Fichier(s) détecté(s): 28
C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\1.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\a.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\b.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\c.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\d.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\e.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\f.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\g.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\h.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\i.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\j.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\k.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\l.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\m.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\n.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\o.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\p.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\q.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\r.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\s.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\t.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\u.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\v.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\w.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\wlu.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\x.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\y.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong\Data\z.txt (PUP.Optional.PriceGong.A) -> Aucune action effectuée.
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 199
Télécharge https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= AdwCleaner ( d'Xplode ) sur ton bureau.
Sur la page d'AdwCleaner, à droite, clic sur la disquette grise avec la flèche verte pour lancer le téléchargement.
Lance AdwCleaner, clique sur [Scanner].
Le scan peux durer plusieurs minutes, patienter.
Une fois le scan terminé, clique sur [Nettoyer]

Une fois le nettoyage terminéi, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


puis :



Sur Firefox : Menu Outils / Modules complémentaires
Onglet Extension.
Donne la liste.

Sur Google Chrome : Menu en haut à droite puis Outils / Extensions
Donne la liste.

Messages postés
69
Date d'inscription
samedi 28 avril 2007
Statut
Membre
Dernière intervention
2 février 2014
2
Voila :
# AdwCleaner v3.004 - Rapport créé le 22/09/2013 à 19:27:06
# Mis à jour le 15/09/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : EZPONDA Jean-David - PCJD
# Exécuté depuis : C:\Documents and Settings\EZPONDA Jean-David\Mes documents\Téléchargements\adwcleaner.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\Program Files\cacaoweb
Dossier Supprimé : C:\Program Files\Conduit
Dossier Supprimé : C:\Program Files\DAEMON Tools Toolbar
Dossier Supprimé : C:\Program Files\Protection_ZoneAlarm
Dossier Supprimé : C:\Documents and Settings\EZPONDA Jean-David\Local Settings\Application Data\Protection_ZoneAlarm
Dossier Supprimé : C:\Documents and Settings\EZPONDA Jean-David\Application Data\cacaoweb
Dossier Supprimé : C:\Documents and Settings\EZPONDA Jean-David\Application Data\PriceGong
Dossier Supprimé : C:\Documents and Settings\EZPONDA Jean-David\Application Data\Mozilla\Firefox\Profiles\46a9log6.default\ConduitCommon
Dossier Supprimé : C:\Documents and Settings\EZPONDA Jean-David\Application Data\Mozilla\Firefox\Profiles\46a9log6.default\Extensions\cacaoweb@cacaoweb.org
Dossier Supprimé : C:\Documents and Settings\EZPONDA Jean-David\Application Data\Mozilla\Firefox\Profiles\46a9log6.default\Extensions\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}
Fichier Supprimé : C:\WINDOWS\system32\conduitEngine.tmp
Fichier Supprimé : C:\Documents and Settings\EZPONDA Jean-David\Application Data\Mozilla\Firefox\Profiles\46a9log6.default\searchplugins\daemon-search.xml

***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\grusskartencenter.com
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\grusskartencenter.com
Clé Supprimée : HKCU\Toolbar
Clé Supprimée : HKLM\SOFTWARE\Classes\Conduit.Engine
Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\cacaoweb
Clé Supprimée : HKLM\SOFTWARE\MozillaPlugins\@checkpoint.com/FFApi
Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2613520
Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2645238
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{D7F26D0E-9801-45C3-A091-8A65E4ED73B5}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A7BD8FFF-DF15-4571-A7A4-8A5C36E4EA72}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{2356DB37-71A4-4A09-9696-43AE8AB7AFB0}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D7F26D0E-9801-45C3-A091-8A65E4ED73B5}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{32099AAC-C132-4136-9E9A-4E364A424E17}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D7F26D0E-9801-45C3-A091-8A65E4ED73B5}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{2356DB37-71A4-4A09-9696-43AE8AB7AFB0}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{1429D1D7-DDBB-480B-921F-26C3A14830C0}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{3037C09D-0737-4486-890F-2096B2033CA5}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4FC7-90CC-5EA0ABBE9EB8}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{D7F26D0E-9801-45C3-A091-8A65E4ED73B5}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{30F9B915-B755-4826-820B-08FBA6BD249D}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{32099AAC-C132-4136-9E9A-4E364A424E17}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D7F26D0E-9801-45C3-A091-8A65E4ED73B5}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{D7F26D0E-9801-45C3-A091-8A65E4ED73B5}]
Valeur Supprimée : HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List [C:\Program Files\cacaoweb\cacaoweb.exe]
Clé Supprimée : HKCU\Software\cacaoweb
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\PriceGong
Clé Supprimée : HKCU\Software\SmartBar
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKCU\Software\Toolbar
Clé Supprimée : HKCU\Software\YahooPartnerToolbar
Clé Supprimée : HKCU\Software\Protection_ZoneAlarm
Clé Supprimée : HKLM\Software\Conduit
Clé Supprimée : HKLM\Software\Protection_ZoneAlarm
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Protection_ZoneAlarm Toolbar

***** [ Navigateurs ] *****

-\\ Internet Explorer v6.0.2900.5512

Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Start Page]

-\\ Mozilla Firefox v23.0.1 (fr)

[ Fichier : C:\Documents and Settings\EZPONDA Jean-David\Application Data\Mozilla\Firefox\Profiles\46a9log6.default\prefs.js ]


*************************

AdwCleaner[R0].txt - [5677 octets] - [22/09/2013 19:14:04]
AdwCleaner[S0].txt - [5539 octets] - [22/09/2013 19:27:06]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [5599 octets] ##########


Module de firefox
Adblock plus
Downloadhelper
Firedownload
Grooveshredder
Adobe dlm (desactivé)
Avira search free toolbar (desactivé)
Microsoft.net framework assistant (desactivé)
Zone alarm securityengine (desactivé)
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 199
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE



Messages postés
69
Date d'inscription
samedi 28 avril 2007
Statut
Membre
Dernière intervention
2 février 2014
2
Salut Malekal_morte,

J'ai suivi les instructions :
Le lien vers OTL : https://pjjoint.malekal.com/files.php?id=20130923_h5c5u8n13t7
extra.txt : https://pjjoint.malekal.com/files.php?id=20130923_w13d5q10l12d13
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 199
Ca donne quoi ?

Si ça continue désinstalle ZoneAlarm.
Messages postés
69
Date d'inscription
samedi 28 avril 2007
Statut
Membre
Dernière intervention
2 février 2014
2
J'ai pas vu de nouveaux pics de l'UC. Coté démarrage c'est bon, les icones sont la à chaque fois.
Le scan a donné quoi? Des traces de Downloader.gen ou d'autres malwares?
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 199
Des programmes parasites.


Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/

Messages postés
69
Date d'inscription
samedi 28 avril 2007
Statut
Membre
Dernière intervention
2 février 2014
2
Merci de ton aide.
Tu me conseilles quoi comme config antivirus?
Actuellement j'ai : Antivir/Spybot/Malwarebyte(gratuit) et Zonealarm en pare feu.
Tu me disais de desinstaller Spybot mais c'est lui qui m'a desinfecté de downloader.gen

Au fait,je pensais faire une analyse malwarebyte+adwcleaner sur mes disques durs externes, pour ne rien oublier. Ton avis?
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 199
Avast! à la place d'Antivir.
Spybot sert à rien.