Win32 : Malware-gen , help

[invite9b512f62]

Bonjour,
Petit soucis : depuis quelques jours avast me lance plusieurs fois par jour des alertes concernant le meme malware sur le meme fichier. C'est à dire Win32 : malware-gen concernant ce fichier : C:\DOCUME~\COMPAQ~1\LOCALS~1\T emp\~temp\aiunml\214. Je mets toujours cela gentiment en quarantaine, mais cela n'arrange rien. J'envisage de vider la quarantaine mais j'ai un doute. J'ai donc suivi le protocole de traitement proposé par le forum, voici en P.J les logs obtenus via RSIT et hijackthis. je n'ai pas l'impression d'avoir de gros soucis de lenteur, mais cela m'inquiète quand même beaucoup. j'ai absolument besoin de mon ordi. Si vous avez une idée, je suis preneuse.
merci d'avance
-----

[invite4c6c2965]

Salut,
Télécharge et installe Malwarebytes' Anti-Malware
Fait un scan rapide,coche puis clique sur Supprimer la sélection
Accepte le reboot de l'ordi pour le nettoyage, puis poste le rapport final.

Aide en images.



Tu peux aussi changer d'antivirus,>AntiVir<est bien meilleur qu'avast.
Il est en français et tout aussi gratuit.Si tu changes d'av ce qui est souhaitable,
désinstalle avast avant l'installation d'AntiVir.
Configure-le comme sur le tuto puis fais un scan. S'il détecte un problème poste le rapport.

[invite9b512f62]

Merci des infos!
Par contre malware machin truc n'a pas suffit, jai de nouveau eu l'apparition du virus via avast exactement à la même place qu'avant. En PJ, voilà le log final obtenu en fin de désinfection.
Je n'ai jamais eu de soucis avec Avast, mais aucun prob à essayer Antivir, surtout si ça me vire cette cochonnerie de malware, je m'occuperai de changer l'antivirus, et je ferai un scan. Le nouvel antivirus pourrait suffire ? En tout cas merci de ton attention et suite au prochaine épisode.

[invite4c6c2965]

tu n'as pas cliquer sur Supprimer la sélection et redémarrer l'ordi ?

[A voir en vidéo sur Futura]

[invite9b512f62]

Salut,
Sisi et ds le doute je l'ai refait ce matin (ci joint le rapport). Voilà les aventures de la journées: J'ai donc relancé MBAM, il a retrouvé certains fichiers infectés mais moins qu'hier, j'ai de nouveau cliqué sur tout et fait effacer la sélection puis redémarrer l'ordi. Ca n'a pas empêcher Avast de me signaler de nouveau une alerte sur le meme fichier. J'ai donc remplacé Avast par Antivir, aussitôt installé jai eu des alertes concernant un autre trojan. Tout est noté ds les 2 PJ, la premières concerne le scan rapide que Antivir effectue à sa mise en marche (il trouve 4 prob) et la P.J2 concerne un scan total et là on doit avoir 34 prob. Lorsqu'il m'a demandé de réparer, je n'ai rien fait, j'attends tes précieux conseils.
L'ordi n'a pas de prob particulier, si ce n'est l'apparition depouis quelques jours de l'annonce d'un certificat aol mobile.com non valide, et que je n'arrive pas à régler malgré la vérif de l'horloge et un nouveau téléchargement du certif, mais je ne suis même pas certaine que cela ait un rapport avec notre histoire. bref voilà les log... Bonne lecture

[invite4c6c2965]

tu peux tout mettre en 40aine sauf ces deux fichiers appartenant à HP
C:\hp\bin\KillIt.exe
C:\hp\bin\KillWind.exe

Ils sont signalés comme dangereux car si pris en main par un programme malveillant
ils peuvent servir à stopper des processus. après avoir viré les autres tu mettras ceux-
là dans les exclusions pour que AntiVir ne te les signale plus. Méthode.


Télécharge et enregistre TFC ( OldTimer) sur le Bureau

• Fais un double-clic sur TFC.exe pour le lancer.
• L'outil va fermer tous les programmes lors de son exécution, donc vérifier
  

que tout travail en cours est sauvegardé avant de commencer.

• Clique sur le bouton Start pour lancer le processus. Cela peut durer de quelques

secondes à une ou deux minutes. Laisse le programme s'exécuter sans l'interrompre.

• Lorsqu'il a terminé, l'outil devrait faire redémarrer le système. S'il ne le fait pas, fais
  

redémarrer manuellement l'ordi pour parachever le nettoyage.

[invite9b512f62]

Z'alooors... En préambule, une info : tout à l'air ok, l'ordi s'est rallumé sans qu'aucune alerte antivir ne bippe et je surfe tranquille, oh joie ....
Par contre, aurais je fais une erreur hier, parce que ce matin, au démarrage, j'ai eu le droit à une fenetre me disant que logman.exe est introuvable avec cette adresse là C:\DOCUME~1\COMPAQ~1\LOCALS~1\ Temp\logman.exe... Et ça me la refait maintenant de la même façon alors que je viens de nettoyer l'ordi via un scan antivir et TFC, puis de redémarer. je le retélecharge à ton avis?
En tout cas merci, je ne m'en serais jamais sortie sans toi.

[invite4c6c2965]

Pas de soucis nous allons vérifier l'état du systeme. Relance RSIT et poste un nouveau rapport log.txt

[invite9b512f62]

Et voilà le nouveau log RSIT....

[invite4c6c2965]

herche ce programme C:\Program Files\trend micro\Compaq_Propriétaire.exe
double clique dessus, clique sur Do a system scan only
coche ces lignes puis clique sur Fixchcked:

Code:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = 
F3 - REG:win.ini: load=C:\DOCUME~1\COMPAQ~1\LOCALS~1\Temp\logman.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install      
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install      
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE   
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE      
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup     
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot   
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime   
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot 
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe   
O4 - HKLM\..\Policies\Explorer\Run: [DllHst] C:\WINDOWS\System\dllhst3g.exe /waitservice    
O4 - HKLM\..\Policies\Explorer\Run: [Mstsc] C:\DOCUME~1\COMPAQ~1\APPLIC~1\MICROS~1\mstsc.exe /waitservice  
O4 - HKLM\..\Policies\Explorer\Run: [Cisvc] C:\DOCUME~1\COMPAQ~1\LOCALS~1\Temp\cisvc.exe /waitservice    
O4 - HKLM\..\Policies\Explorer\Run: [ClipSrv] C:\DOCUME~1\COMPAQ~1\LOCALS~1\APPLIC~1\MICROS~1\clipsrv.exe /waitservice    
O4 - HKLM\..\Policies\Explorer\Run: [ComRepl] C:\DOCUME~1\COMPAQ~1\LOCALS~1\Temp\comrepl.exe /waitservice      
O4 - HKLM\..\Policies\Explorer\Run: [SessMgr] C:\DOCUME~1\COMPAQ~1\LOCALS~1\APPLIC~1\sessmgr.exe /waitservice   
O4 - HKCU\..\Policies\Explorer\Run: [ClipSrv] C:\DOCUME~1\COMPAQ~1\LOCALS~1\Temp\clipsrv.exe /waitservice     
O4 - HKCU\..\Policies\Explorer\Run: [Spool] C:\DOCUME~1\COMPAQ~1\LOCALS~1\Temp\spoolsv.exe /waitservice    
O4 - HKCU\..\Policies\Explorer\Run: [Logman] C:\DOCUME~1\COMPAQ~1\LOCALS~1\APPLIC~1\logman.exe /waitservice     
O4 - HKCU\..\Policies\Explorer\Run: [Cisvc] C:\DOCUME~1\COMPAQ~1\APPLIC~1\cisvc.exe /waitservice       
O4 - HKCU\..\Policies\Explorer\Run: [rsvp] C:\DOCUME~1\COMPAQ~1\LOCALS~1\Temp\rsvp.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [MqtgSVC] C:\DOCUME~1\COMPAQ~1\LOCALS~1\Temp\mqtgsvc.exe /waitservice      
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')     
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')     
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [IEudinit] C:\DOCUME~1\COMPAQ~1\LOCALS~1\APPLIC~1\ieudinit.exe /waitservice (User 'SYSTEM')     
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [IEudinit] C:\DOCUME~1\COMPAQ~1\LOCALS~1\APPLIC~1\ieudinit.exe /waitservice (User 'Default user')

Ensuite télécharge ComboFix (de sUBs):
- Sauvegarde le sur ton Bureau.
- Double-clique sur Combofix.exe et suis les instructions.
- Lorsqu'il aura terminé, un rapport apparaîtra à l'écran (fichier texte).
- Poste le contenu du rapport dans ta prochaine réponse.

Le rapport est également sauvegardé ici : C:\ComboFix.txt

Ne pas cliquer dans la fenêtre de Combofix durant l'analyse ;
ceci provoquerait le gel du programme

Tuto ComboFix

[invite9b512f62]

Voilà le log de combofix, ca devient ardu, jai l'impression de bosser à la Nasa
Par contre durant que combofix faisait son travail, une fenetre windows m'a signalé une erreur d'écriture mémoire, je n'ai touché a rien, Combo a continué sans prob son analyse et la fenetre a disparu d'elle-même. Bon si ça se trouve c'est normal ou ça n'a aucune importance mais ds le doute, je te le signale...
Bref le log en P.J...

[invite4c6c2965]

ok, à présent on va supprimer les outils ayant servi à la procédure

Télécharge ToolsCleaner (A.Rothstein et dj QUIOU)
Enregistre-le sur ton Bureau
Clique sur Recherche et laisse le scan se terminer.
Clique sur Suppression pour finaliser.
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste le rapport C:\TCleaner.txt

NB: Pour Vista l'utilisation de l'outil nécessite de faire Clic-droit Exécuter en tant qu'administrateur.

[invite9b512f62]

Voici le log ...

[invite4c6c2965]

Si tu n'as plus de soucis :

Un compte limité accroit la sécurité

Les mises à jour des programmes aussi

Comment reconnaitre et éviter les programmes piégés

Les dangers du P2P


@+

[invite9b512f62]

Et bien , ça a l'air le cas...
Un grand merci pour ta patience et tes conseils!