Win32:Malware-gen

[invite677bc06b]

Bonjour et merci pour les réponses,

J'ai téléchargé comboFix à l'aide du lien mais, je n'ai pas eu le choix de mettre un raccourci sur le bureau, je pense que j'aie fait une erreur quelque part. De plus je n'ai pas pû installé la console de récupération car je n'avais pas accès à tous les outils sur le bureau. J'ai donc laissé travaillé ComboFix et joins le rapport en PJ.
Questions : dois-je refaire l'installation de ComboFix afin de mettre un lien sur le bureau. Y a t-il un danger si je recommence l'opération !
Merci encore et à bientôt,
-----

[invitec04351b8]

Bonsoir,

il y a 2 sessions, la tienne et Ami. A quoi correspond cette dernière et qui l'utilise ?

===

Copie ou imprime les instructions avant

• Déconnecte toi d'internet et ferme toutes tes applications.
• Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
• Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
  
  Driver::
  jnv4_mib
  
  File::
  c:\docume~1\corinne\LOCALS~1\T emp\jnv4_mib.sys
  c:\documents and settings\corinne\Application Data\AppLauncher\WinLockDLL.dl l
  
  
  Folder::
  c:\documents and settings\Ami\Application Data\EoRezo
  c:\documents and settings\corinne\Application Data\EoRezo
  c:\documents and settings\corinne\Application Data\EoRezo\install.exe
  
  Firefox::
  FF - ProfilePath - c:\documents and settings\corinne\Application Data\Mozilla\Firefox\Profiles\ ycl9xe21.default\
  FF - prefs.js: browser.startup.homepage - hxxp://y.lo.st
  
  
  
• Enregistre ce fichier sous le nom CFscript dans le répertoire où tu as mos Combofix.exe (c:\documents and settings\corinne\MESDOCuments\ CORINN~2)
• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
• Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
• Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.

===

Le rapport Combofix indique la présence de 2 antivirus.

Lequel gardes-tu ?

De même, il y a 2parefeu.

Lequel gardes-tu ?

(en fait, soit tu gardes la suite Bit defender soit tu gardes Avast et ZoneAlarm).

===

Le rapport Combofix indique ceci :

2010-03-08 15:48 . 2010-02-06 14:53 667648 ----a-w- c:\documents and settings\corinne\Application Data\AppLauncher\Data Recovery.exe
2010-03-08 15:48 . 2010-02-06 14:53 2691072 ----a-w- c:\documents and settings\corinne\Application Data\AppLauncher\DataSync.exe
2010-03-08 15:48 . 2010-02-06 14:53 208896 ----a-w- c:\documents and settings\corinne\Application Data\AppLauncher\Reset.exe
2010-03-08 15:48 . 2010-02-06 14:52 -------- d-----w- c:\documents and settings\corinne\Application Data\AppLauncher
2010-03-08 15:48 . 2010-02-06 14:53 569344 ----a-w- c:\documents and settings\corinne\Application Data\AppLauncher\PCLock.exe
2010-03-08 15:48 . 2010-02-06 14:53 442368 ----a-w- c:\documents and settings\corinne\Application Data\AppLauncher\SecretZip.exe
2010-03-08 15:48 . 2010-02-06 14:53 765952 ----a-w- c:\documents and settings\corinne\Application Data\AppLauncher\MakeBootable. exe
2010-03-08 15:48 . 2010-02-06 14:53 1036288 ----a-w- c:\documents and settings\corinne\Application Data\AppLauncher\LOCK.exe

Ceci t'est-il utile ? (je t'ai fait supprimé un fichier ayant les mêmes dates de création et modification)

@+

[invite677bc06b]

Bonjour et merci pour toutes ces précisions.

Oui, j'avais ouvert un cession Ami pour mon fils afin qu'il ne fasse pas d'imprudence dans mes dossiers. Cependant, elle a très peu servi et plus personne ne l'utilise à présent. J'ai remarqué d'ailleurs que l'on ne pouvait plus fermer l'ordi quand on ouvrait cette cession. Elle n'a plus lieu d'être maintenant.

Oui, j'utilisais BitDefender précédemment et ce, pendant 2 ans quand il est arrivé à expiration, mon fils ainé m'a proposé d'intaller Avast et ZoneAlarm pour essayer et je les utilise depuis moins d'un an maintenant.

Concernant le rapport de Combofix et les lignes que tu m'as citées j'ignore à ce quoi elles se rapportent, je ne pense pas en avoir l'utilité.

Voilà, j'essaie de faire ce dont tu m'as expliqué dans ton dernier message.

Merci, à+

[invite677bc06b]

Re,

J'ai donc suivi ta procédure mais, une fenêtre ds ComboFix s'est ouverte "CD-émulation""Warning"
CD-émulation drivers are running on this machine. ComboFix needs to temporaly disable them.

Comme tu ne me l'avais pas mentionné j'ai fermé la fenêtre avec la croix au lieu de clicqué sur OK. Je n'ai donc pas eu le choix ni 1 ni 2 L'ordi a redémarrer et ComboFix a continué quand même son analyse. Je te mets en PJ son rapport.
Question : dois-je refaire la procédure mais jusqu'au bout cette
fois-ci?
Merci pour tes réponses.

[invitec04351b8]

Bonsoir,

fais ceci (pour vérifier un possible problème dans la MBR) :

Télécharge mbr.exe de Gmer et enregistre le fichier sur le Bureau.

• Désactive tes protections et coupe la connexion. (Antivirus et antispywares, parefeu et autre résident)
• Double clique sur mbr.exe
• Un rapport sera généré : mbr.log
• Réactive tes protections.
• Poste le rapport.

En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.

Dans le menu Démarrer- Exécuter tape : "%userprofile%\Bureau\mbr" -f
Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"

Réactive tes protections
Poste ce rapport et supprimes-le ensuite.

Pour vérifier

Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Relance mbr.exe

Réactive tes protections.

Le nouveau mbr.log devrait être celui-ci :

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK


Note : Si le fichier mbr.exe se trouve dans Téléchargement, cela fonctionne aussi et mbr.log s'y inscrira.

@+

[invite677bc06b]

Bonsoir,

Je joins le rapport mbr.log en PJ.

Merci, A+

[invite677bc06b]

Re,

Dans le menu démarrer-exécuter, Windows ne trouve pas "c:\Documents and settings\Corinne\Bureau\mbr"-f
Vérifier que vous avez entré le nom correctement et essayer à nouveau.
Je joins le rapport tout de même...

A+

[invite677bc06b]

Me revoilà,

Pour vérifier quand même j'ai relancé mbr et te poste le rapport,
ça m'a pas l'air d'être ça...

Merci pour ta patience, bonsoir,

[invitec04351b8]

Re,

le rapport de gmer est bon.

Vide ta Corbeille.

Par l'Explorateur Windows, cherche de répertoire

c:\documents and settings\corinne\Application Data\AppLauncher

Fais un clic droit et Supprimer.

Fais redémarrer l'ordi.

Tout se passe bien ?

Utilise l'ordi pour vérifier que tout fonctionne.

@+

[invite677bc06b]

Bonjour Lyonnais,

J'ai supprimé le répertoire "Application Data\Applauncher comme tu m'as dit. J'ai redémarré l'ordi, tout à l'air de bien fonctionner, je ne vois pas de changement pour le moment.

Merci et à bientôt,

[invitec04351b8]

Bonjour,

utilise l'ordi 2 jours.

Si tout va bien, on finalisera.

@+

[invite677bc06b]

Ok, merci, alors à dans 2 jours...si tout va bien...

Bonsoir,

[invite677bc06b]

Bonjour Lyonnais92,

He bien me revoilà après avoir utilisé mon ordi plusieurs jours sans problème apparent, mis à part que je le trouve un peu lent parfois mais, pas toujours.

J'attends donc tes prochaines instructions pour finaliser. Quand tu peux bien entendu, je ne suis pas pressée.

Merci et à bientôt,

Isaco

[invite677bc06b]

J'allais oublié,
Tu m'as fait supprimer le répertoire "Application/data/Applauncher.

J'ai vu que j'avais une clef USB qui s'appelle comme cela, en fait quand j'ouvre cette clef elle a 2 dossiers dont 1 qui s'appelle Applauncher et qui représente la notice d'utilisation de la clef.

Mes ennuis viendraient-ils de cette clef ?

Merci, à+

[invitec04351b8]

Bonjour,

je ne crois pas que ta clé ait des problèmes.

Refais tourner ZHPDiag et poste le rapport.

Ca me permettra de voir les outils que ZHPFix ne va pas désinstaller et si je peux améliorer les performances.

@+

[invite677bc06b]

Bonsoir Lyonnais92, merci pour ta réponse.
Voici en PJ le rapport de ZHPdiag.
à+

[invitec04351b8]

Bonjour,

mets à jour Windows et Internet Explorer (IE7 et même 8 si tu comptes l'utiliser comme navigateur par défaut).

Mets à jour ta console java :

Télécharge JavaRa.zip de Paul McLain et Fred de Vries.

* Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
* Double-clique sur le répertoire JavaRa.
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
* Choisis Français puis clique sur Select.
* Clique sur Recherche de mises à jour.
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l'application.

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.

@+

[invite677bc06b]

Bonsoir Lyonnais92,

J'ai eu du mal à télécharger la console JavaRa. J'ai eu le choix d'effacer les anciennes versions avant le téléchargement. Donc, je ne sais si c'est chargé correctement. Je t'envoie le rapport.
Merci, à+

[invite677bc06b]

J'ai oublié de te dire que le choix via jucheck.exe pour la mise à jour ne répondait pas, j'ai donc choisi l'autre choix préconisé et, j'ai suivi les consignes. Je n'ai donc pas pu suivre la suite de tes consignes. Voilà, merci,
A bientôt.

[invitec04351b8]

Bonjour,

fais redémarrer l'ordi (seulement si ça n'a pas été fait depuis la dernière installation de java).

Refais tourner ZHPDiag et poste le rapport.

@+

[invite677bc06b]

Bonjour Lyonnais92,

Voici le dernier rapport de ZHPDiag. Merci, à+
Isaco

[invitec04351b8]

Bonsoir,

il faut que tu désinstalles Bit Defender (double emploi avec Avast) :

http://www.bitdefender.com/files/Kno...stall_Tool.EXE

===

Il faut aussi que tu mettes à jour Avast (vers Avast 5).

===

Il faut aussi mettre à jour Internet Explorer (de IE6 vers IE7 et même IE8 si tu l'utilises).


===

Pour supprimer les outils devenus inutiles :

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage.

===
Quelques conseils (merci à B.Marlow)

Un compte limité accroit la sécurité

Les mises à jour des programmes aussi

Comment reconnaitre et éviter les programmes piégés

Les dangers du P2P

@+

[invite677bc06b]

Bonjour Lyonnais92,
Merci pour tous ces conseils. J'ai donc désinstallé Bit Defender, j'ai remis à jour Avast vers Avast 5 ainsi qu'IE8 maintenant.

J'ai lancé le nettoyeur de tools avec ZHPFIX. seulement j'ai vu qu'il avait mis des éléments en quarantaine dont ZHPFIX, Toolbar, et d'autres éléments. J'ai fait une mauvaise manipulation ce qui fait que je n'ai pas pu enregistrer ce rapport. Donc, ZHPFIX a disparu du bureau, je n'ai pas bien compris...pourquoi cette mise en quarantaine.

Autres questions : puis-je remettre en fonction mon disque dur externe maintenant?
En ce qui concerne la navigation comment choisir le navigateur car je m'aperçois que j'ai d'un côté orange, Mozilla Firefox, Internet Explorer cela fait beaucoup, lequel utiliser ?

En tout les cas merci pour toute cette aide et merci pour les liens de B.Marlow.

A bientôt,

Isaco

[invitec04351b8]

Bonsoir,

normalement, tu ne devrais plus avoir de répertoire C:\Program Files\ZHPDiag;

Ce qui s'est passé me semble conforme à l'élimination des outils par ZHPFix (y compris lui-même).

Tu peux remettre en fonction ton DD externe.

Choisis firefox comme navigateur par défaut mais tu as besoin de IE_ pour les mises à jour de Microsoft.

De rien pour l'aide, ce fut avec plaisir.

@+

[invite677bc06b]

Bonjour Lyonnais92,

J'ai donc remis en fonction mon disque dur externe. J'ai fait quand même une analyse anti-virus avant de le remettre en route et, Avast a bien détecté ce virus Win32 dans trois éléments. Je les ai mis en quarantaine comme il conseille de le faire. Une question donc : où retrouve t-on les éléments en quarantaine et que deviennent ils ? y a t-il possibilité de les supprimer ?

J'ai lu sur le site de clubic.com qu'il y avait eu des disques externes commercialisés infectés par ces virus dont Seagate et, je me demande si cela n'a pas été mon cas car ce problème de win32 est apparu pas longtemps après avoir installé ce disque dur qui d'ailleurs ne fonctionne pas correctement puisqu'il ne fait pas les mise à jour tout seul. Voilà.

Sinon, j'ai suivi tes conseils et, j'ai remis à jour Avast en migrant vers la nouvelle version. Je me sers de Firefox comme navigateur et cela va bien mieux, je ne suis plus déconnectée comme avant quand je vais sur gmail par exemple en me servant du navigateur orange.

Je te remercie pour tes conseils bien précieux.

A bientôt.

Isaco

[invitec04351b8]

Bonjour,

tu as une fonction dans Avast qui te permet de visualiser les fichiers en quarantaine et de les supprimer.

J'aimerai que tu le donnes le nom des fichiers détectés par Avast dans ton DD externe.

@+

[invite677bc06b]

Bonjour Lyonnais92,

Me revoilà après quelques jours d'absence,
J'ai donc supprimé la zone de quarantaine dans Avast mais avant, j'ai relevé la liste que je te mets en PJ. Je pense que ce sont les 3 derniers qui ont été détectés dans mon DD externe Seagate.

Dis moi ce que tu en penses...merci

A+

Isaco

[invite677bc06b]

Excuse-moi mais, on fichier est non valide, je le copie donc ci-dessous.


NOM EMPLACEMENT D’ORIGINE VIRUS

A0142955.exe C :\system Volume Information\_restore(947F4D7A-2E6C-477C-904B-9314… Win32.Malware-gen
DERNIERS CHANGEMENTS 06/05/2008 DATE DU TRANSFERT 10/03/2010

A0143140.exe F:\system Volume Information\_restore(947F4D7A-2E6C-477C-904B-9314… Win32.Malware-gen
DERNIERS CHANGEMENTS 06/05/2008 DATE DU TRANSFERT 26/04/2010

Overnet052.exe F:\Seagate Backup\MONPC\C\install\Applica tions\Overnet Win32 Malware-gen
DERNIERS CHANGEMENT 31/12/2002 DATE DU TRANSFERT 26/04/2010

Web-mediaplayer_setup… C:\documents and Settings\corinne\Mes documents\corinne-veillet Win32 trojan-gen (other)
DERNIERS CHANGEMENTS 09/05/2008 DATE DU TRANSFERT 08/12/2008

WebMediaPlayer.exe C:\program Files\webMediaPlayer Win32 Malware-gen
DERNIERS CHANGEMENTS 06/05/2008 DATE DU TRANSFERT 07/03/2010

WebMediaPlayer.exe G:\Seagate Backup\MONPC\History\level2\C\ Program Files\WebMediaPL… Win32 Malware-gen
DERNIERS CHANGEMENTS 06/05/2008 DATE DE TRANSFERT 07/03/2010

BK243.tmp F:\Seagate Backup Win32:Malware-gen
DERNIERS CHANGEMENTS 06/05/2008 DATE DE TRANSFERT 25/02/2010

BKA873.tmp F:\Seagate Backup Win32:Malware-gen
DERNIERS CHANGEMENTS 06/05/2008 DATE DE TRANSFERT 13/02/2010