Infection trojan.gen

Littlekisscool Messages postés 19 Statut Membre -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

Mon antivirus (Symantec Endpoint) me détecte régulièrement des "trojan.gen" qu'il met en quarantaine.
J'ai tenté de désinfecter mon PC avec divers outils (Malwarebytes Anti-Malaware et Combofix notamment) sans succès, les menaces reviennent toujours.
Je suis donc le tuto de désinfection du site CCM et comme expliqué j'ai créé un rapport ZHPDiag, le voici : https://pjjoint.malekal.com/files.php?id=ZHPDiag_20150330_z10c14v11s5i8

Quelqu'un pourrait il me venir en aide svp ?
En vous remerciant par avance.

13 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Rapport correct.
    Faut voir dans quel fichier, trojan.gen a été détecté.
    Soit faux positif.
    Soit supprimé avec malwarebytes et Combofix.
    0
  2. Littlekisscool Messages postés 19 Statut Membre
     
    Bonjour,

    Et pourtant ça continue à arriver occasionnellement, et constamment catché par mon antivirus, par exemple : http://puu.sh/gYD3S/c3ff3aeb93.png

    Configuration: Windows / Chrome 41.0.2272.101
    0
  3. Littlekisscool Messages postés 19 Statut Membre
     
    Ou même : http://puu.sh/gYDGV/96cf9c50ae.png

    Le fait que le deuxième soit dans les fichiers temporaires de Endpoint c'est parce que Endpoint s'en est occupé que c'est là, ou ça signifie que c'est Endpoint lui même qui est infecté ?
    0
  4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    ok,

    Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
    (et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
    Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
    • FRST.txt
    • Shortcut.txt
    • Additionnal.txt


    Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    t'as dû PUP/Win32.CrossRider qui traine.

    Voici la correction à effectuer avec FRST.
    Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

    Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
    Copie/colle dedans ce qui suit :

    Task: {2FF8E908-7FF3-4195-8A23-0CC955314A58} - System32\Tasks\WHAQQMUV => C:\Users\Littl_000\AppData\Roaming\WHAQQMUV.exe <==== ATTENTION
    Task: {5EA7B75D-680C-47B9-8460-81569B71AE9F} - \64e221a3-10fa-4734-841a-0655010902fc-1-7 No Task File <==== ATTENTION
    Task: {95DA031F-5E3D-4DDE-BAE7-80757859849D} - System32\Tasks\ZZQVC => C:\ProgramData\0ffd1a5774b14d808726015a7854d128\0ffd1a5774b14d808726015a7854d128.exe
    Task: {C558D7B1-286B-4BED-8CFE-D8B66777431A} - \64e221a3-10fa-4734-841a-0655010902fc-1-6 No Task File <==== ATTENTION
    Task: {C67DE1CB-EE6B-4DE3-8F86-B0637D23EB60} - \globalUpdateUpdateTaskMachineCore1d060d333cb22d3 No Task File <==== ATTENTION
    Task: {CBC1C9F4-70BC-4E6D-AF4E-4BC8BBF3FA5A} - \d207e86b-dc32-41ca-a24b-04fcba7da98c-5_user No Task File <==== ATTENTION
    Task: C:\Windows\Tasks\WHAQQMUV.job => C:\Users\Littl_000\AppData\Roaming\WHAQQMUV.exe <==== ATTENTION
    2015-03-17 22:17 - 2014-07-16 17:47 - 00000000 ___HD () C:\Users\Littl_000\AppData\Local\DhuHCS8pT7wdIuF
    2015-03-17 22:17 - 2013-03-21 08:55 - 00000000 ___HD () C:\Users\Littl_000\AppData\Local\tDSFCy6az
    2015-03-09 23:30 - 2015-03-09 23:30 - 0005487 _____ () C:\Users\Littl_000\AppData\Roaming\WHAQQMUV

    Une fois, le texte coller dans le bloc-note.
    Menu Fichier puis Enregistrer sous.
    A gauche, place toi sur le bureau.
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

    Relance FRST et clic sur le bouton Fix
    Selon comment un redémarrage est nécessaire (pas obligatoire).
    Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur

    0
  7. Littlekisscool Messages postés 19 Statut Membre
     
    Merci !

    Par contre j'ai fait une mauvaise manip, j'ai effacé le fichier de log après le fix par erreur. J'ai relancé une deuxième fois pour en re-générer un mais pas sur que son contenu soit aussi intéressant pour toi que celui initialement généré :

    Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 11-03-2015
    Ran by Littl_000 at 2015-04-02 13:18:22 Run:2
    Running from C:\Users\Littl_000\Desktop
    Loaded Profiles: Littl_000 (Available profiles: Littl_000)
    Boot Mode: Normal
    ==============================================

    Content of fixlist:
    Task: {2FF8E908-7FF3-4195-8A23-0CC955314A58} - System32\Tasks\WHAQQMUV => C:\Users\Littl_000\AppData\Roaming\WHAQQMUV.exe <==== ATTENTION
    Task: {5EA7B75D-680C-47B9-8460-81569B71AE9F} - \64e221a3-10fa-4734-841a-0655010902fc-1-7 No Task File <==== ATTENTION
    Task: {95DA031F-5E3D-4DDE-BAE7-80757859849D} - System32\Tasks\ZZQVC => C:\ProgramData\0ffd1a5774b14d808726015a7854d128\0ffd1a5774b14d808726015a7854d128.exe
    Task: {C558D7B1-286B-4BED-8CFE-D8B66777431A} - \64e221a3-10fa-4734-841a-0655010902fc-1-6 No Task File <==== ATTENTION
    Task: {C67DE1CB-EE6B-4DE3-8F86-B0637D23EB60} - \globalUpdateUpdateTaskMachineCore1d060d333cb22d3 No Task File <==== ATTENTION
    Task: {CBC1C9F4-70BC-4E6D-AF4E-4BC8BBF3FA5A} - \d207e86b-dc32-41ca-a24b-04fcba7da98c-5_user No Task File <==== ATTENTION
    Task: C:\Windows\Tasks\WHAQQMUV.job => C:\Users\Littl_000\AppData\Roaming\WHAQQMUV.exe <==== ATTENTION
    2015-03-17 22:17 - 2014-07-16 17:47 - 00000000 ___HD () C:\Users\Littl_000\AppData\Local\DhuHCS8pT7wdIuF
    2015-03-17 22:17 - 2013-03-21 08:55 - 00000000 ___HD () C:\Users\Littl_000\AppData\Local\tDSFCy6az
    2015-03-09 23:30 - 2015-03-09 23:30 - 0005487 _____ () C:\Users\Littl_000\AppData\Roaming\WHAQQMUV

    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2FF8E908-7FF3-4195-8A23-0CC955314A58} => Key not found.
    C:\Windows\System32\Tasks\WHAQQMUV not found.
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WHAQQMUV => Key not found.
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5EA7B75D-680C-47B9-8460-81569B71AE9F} => Key not found.
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\64e221a3-10fa-4734-841a-0655010902fc-1-7 => Key not found.
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{95DA031F-5E3D-4DDE-BAE7-80757859849D} => Key not found.
    C:\Windows\System32\Tasks\ZZQVC not found.
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ZZQVC => Key not found.
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C558D7B1-286B-4BED-8CFE-D8B66777431A} => Key not found.
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\64e221a3-10fa-4734-841a-0655010902fc-1-6 => Key not found.
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C67DE1CB-EE6B-4DE3-8F86-B0637D23EB60} => Key not found.
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\globalUpdateUpdateTaskMachineCore1d060d333cb22d3 => Key not found.
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CBC1C9F4-70BC-4E6D-AF4E-4BC8BBF3FA5A} => Key not found.
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\d207e86b-dc32-41ca-a24b-04fcba7da98c-5_user => Key not found.
    C:\Windows\Tasks\WHAQQMUV.job not found.
    "C:\Users\Littl_000\AppData\Local\DhuHCS8pT7wdIuF" => File/Directory not found.
    "C:\Users\Littl_000\AppData\Local\tDSFCy6az" => File/Directory not found.
    "C:\Users\Littl_000\AppData\Roaming\WHAQQMUV" => File/Directory not found.

    End of Fixlog 13:18:23

    0
  8. Littlekisscool Messages postés 19 Statut Membre
     
    Ca n'a pas fonctionné, dès le redémarrage j'ai : http://puu.sh/gYMkP/d3f1d9aaac.png

    Je vais lancer le scann NOD32
    0
  9. Littlekisscool Messages postés 19 Statut Membre
     
    OSET m'a trouvé 2 theats, dont un qui a été nettoyé (apparemment pas l'autre ?!)~
    http://puu.sh/gYRFb/22f9be2ee9.png
    http://puu.sh/gYRG9/af585e5c75.png
    0
    1. Littlekisscool Messages postés 19 Statut Membre
       
      Après reboot, pas de fichier relevé par Norton comme les fois précédentes ... Je vous tiens au courant, merci en tout cas.
      0
  10. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    oki =)

    Pour info, ce sont des adwares, donc c'est vraiment hyper grave (je veux dire pour les mots de passe etc).
    0
  11. Littlekisscool Messages postés 19 Statut Membre
     
    Bonjour.

    J'ai l'impression que je ne suis pas près de me débarasser de cette sal***** !

    Symantec vient de me faire ce rapport :
    http://puu.sh/gZWGa/63ed71bba7.png
    0
    1. Littlekisscool Messages postés 19 Statut Membre
       
      Ca se produit alors que je suis en train de faire un scan Windows Defender (ça a peut être un rapport, peut être que le fait que WD "touche" un peu à tout ça fait bouger un peu l'adware ?).
      Ce qui me fait penser à quelque chose. Je sais qu'avoir deux antivirus sur une machine n'est souvent pas une bonne idée, mais ne sachant pas trop quel est le périmètre fonctionnel de WD et étant habitué (et satisfé) à Symantec Endpoint j'avais installé ce logiciel.
      Est ce que je devrais en désinstaller un des deux ?
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      bha déjà ce qui serait bien c'est d'envoyer un des fichiers détectés sur https://www.virustotal.com/gui/ parce qu'on ne sait pas ce que c'est.
      Ca se trouve c'est meme pas malicieux, c'est peut-être un FP sur une application qui tourne.
      0
    3. Littlekisscool Messages postés 19 Statut Membre
       
      J'ai testé un fichier parmis ceux mis en quarantaine, il n'est pas détecté comme infecté http://puu.sh/gZXpB/79b3fbfaeb.png
      0
    4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Donne le lien virustotal.
      0
  12. Littlekisscool Messages postés 19 Statut Membre
     
    Penses tu que je devrais désinstaller Symantec Endpoint pour laisser Windows Defender uniquement d'installé ?
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      si ce sont vraiment les fichiers détectés par Symantec, ils ne sont pas malicieux, à mon avis.
      0
    2. Littlekisscool Messages postés 19 Statut Membre
       
      Ok, merci de ton aide, si d'autres fichiers sont détectés je les analyserai à nouveau.
      Par contre tu ne m'as pas répondu, penses tu que je devrais désinstaller Symantec Endpoint pour laisser Windows Defender uniquement d'installé sur ma machin avec que les deux antivirus ne s'emmèlent pas ensemble ?
      0
    3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Non.
      0