Gendal.A.3851 [trojan]

[invite2a53abdb]

Bonsoir,

Je suis face à un problème. Depuis quelques temps, mon anti-virus me signale constamment la présence d'un trojan dans mes fichiers temporaires. J'ai essayé de scanner avec mon logiciel mais après chaque mise en quarantaine, le trojan réapparait.
Le message que me fournit mon anti-virus est :
"Dans le fichier 'C:\Windows\Temp\mrtAA33.tmp\s tdrt.exe'
un virus ou un programme indésirable 'TR/Gendal.A.3851' [trojan] a été détecté."

J'ai effectué les premières démarches expliquées sur votre site, dont je poste les résultats.

Précédemment, j'avais un autre problème, qui bizarrement, a maintenant disparu de lui-même, on dirait. Le logiciel windows media center se lançait tout seul au démarrage de l'ordinateur et mettait en route plusieurs chaines et radio en même temps. Résultat cacophonique qui saturait la bande passante. Très bizarrement, ça a finit par passer sans intervention particulière. Je me demande s'il y a encore quelque chose qui se lance en fond de tache silencieusement.

Je vous remercie pour votre aide. Une bonne soirée !
-----

[invite2a53abdb]

Bonjour,
Je me permet de remonter ce message, n'ayant pas trouvé de solution moi-même.
Merci d'avance pour l'attention que vous pourrez porter à mon problème.

[invitec04351b8]

Bonjour,

Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).[list]

• Lance MBAM et sélectionne "Exécuter un examen rapide". Patiente le temps du scan.
• Une fois le scan terminé,clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

===


Télécharge ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

Double clique sur le raccourci ZHPDiag sur ton Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt) avec le Bloc-Notes et copie son contenu dans ta réponse en pièce-jointe.

@+

[invite2a53abdb]

Bonjour,

je vous remercie, tout d'abord, pour votre aide.

J'ai procédé aux deux analyses. Je place en pièce jointe
ZHPDiag.txtmbam-log-2011-09-17 (14-07-19).txt

Bonne journée !

[A voir en vidéo sur Futura]

[invitec04351b8]

Bonjour,

Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

Code:

O51 - MPSK:{264c5be9-7c48-11df-aecd-e0cb4eece732}\AutoRun\command. (...) -- L:\Autoplay.exe (.not file.)
[MD5.CA5787C66D21E504AF2C6B2B36DD77EC] [SPRF][30/04/2009] (...) -- C:\Users\Joseph\AppData\Local\Temp\SimPack.exe   [81408]
C:\Users\Joseph\AppData\Roaming\Mozilla\Firefox\Profiles\v4n3d993.default\user.js (.not file.)
O4 - HKUS\S-1-5-18\..\Run: [NvCplDaemonTool] C:\Windows\system32\config\SYSTEM~1\gloadnAE.dll (.not file.)
O4 - HKUS\S-1-5-18\..\Run: [NvCplDaemonTool] C:\Windows\system32\config\SYSTEM~1\gloadnAE.dll (.not file.)
O4 - Global Startup: C:\Documents And Settings\Joseph\Desktop\FL Studio 9.lnk . (...)  -- E:\FL_Studio\FL.exe (.not file.)
O43 - CFD: 10/09/2011 - 23:53:12 - [0] ----D- C:\Users\Joseph\AppData\Local\Fallout3
O53 - SMSR:HKLM\...\startupreg\NvCplDaemonTool  [Key] . (...) -- C:\Users\Joseph\gloadnAE.dll (.not file.)
O87 - FAEL: "TCP Query User{46798608-65C4-4083-866A-FD6CE6C2558D}C:\dow3\dow2.exe" |In - Private - P6 - TRUE | .(...) -- C:\dow3\dow2.exe (.not file.)
O87 - FAEL: "UDP Query User{843E9E3E-B815-47F8-9F37-CEDEF5B730E7}C:\dow3\dow2.exe" |In - Private - P17 - TRUE | .(...) -- C:\dow3\dow2.exe (.not file.)
O87 - FAEL: "TCP Query User{C92AC682-08A6-4E32-8BE6-5A050A7D11CD}C:\program files\rockstar games\grand theft auto iv\gtaiv.exe" |In - Private - P6 - TRUE | .(...) -- C:\program files\rockstar games\grand theft auto iv\gtaiv.exe (.not file.)
O87 - FAEL: "UDP Query User{627224F8-8289-484E-BD09-B3F1DA77A8A8}C:\program files\rockstar games\grand theft auto iv\gtaiv.exe" |In - Private - P17 - TRUE | .(...) -- C:\program files\rockstar games\grand theft auto iv\gtaiv.exe (.not file.)
O87 - FAEL: "TCP Query User{E36BE99D-9185-43A0-AD3B-554B9A9C9BA7}C:\program files\starcraft ii\starcraft ii_old.exe" |In - Private - P6 - TRUE | .(...) -- C:\program files\starcraft ii\starcraft ii_old.exe (.not file.)
O87 - FAEL: "UDP Query User{22D67189-D1FE-4CCA-A816-C11803380753}C:\program files\starcraft ii\starcraft ii_old.exe" |In - Private - P17 - TRUE | .(...) -- C:\program files\starcraft ii\starcraft ii_old.exe (.not file.)
O87 - FAEL: "TCP Query User{F543A44C-AA8B-4553-966D-4F2B841DFD76}C:\program files\rockstar games\grand theft auto iv\gtaiv.exe" |In - Public - P6 - TRUE | .(...) -- C:\program files\rockstar games\grand theft auto iv\gtaiv.exe (.not file.)
O87 - FAEL: "UDP Query User{A9B82B82-8A1E-419A-AC51-D746DE93317C}C:\program files\rockstar games\grand theft auto iv\gtaiv.exe" |In - Public - P17 - TRUE | .(...) -- C:\program files\rockstar games\grand theft auto iv\gtaiv.exe (.not file.)

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

@+

[invite2a53abdb]

Bonjour,

voici les derniers résultats :

ZHPFix 1.12.3360 653.txt



Tous les rapports doivent être mis en pièces jointes, ce que j'ai fait à ta place.

yoda1234.

[invitec04351b8]

Bonsoir,

fais redémarrer l'ordi.

Refais touner ZHPDiag et poste le rapport en pièce-jointe.

Comment va l'ordi ?

@+

[invite2a53abdb]

Bonsoir,
Voivi le rapport ZHPDiag en pièce jointe.
Le PC fonctionne correctement mais mon antivirus m'ouvre une fenêtre d'alerte constamment.

Merci pour le temps que vous consacrez à mon problème.

[invitec04351b8]

Bonjour,

il te dit quoi ton antivirus ?

===

Relance ZHPFix avec ces lignes :

Code:

Emptytemp
EmptyFlash
C:\Users\Joseph\AppData\Roaming\Mozilla\Firefox\Profiles\v4n3d993.default\user.js (.not file.)
O43 - CFD: 03/12/2010 - 13:22:20 - [3456] ----D- C:\ProgramData\regid.1986-12.com.adobe

Poste le rapport dans ta réponse.

@+

[invite2a53abdb]

Bonjour,

mon anti-virus m'alerte constamment avec :
C:\WindowsTemp\mrt7F78.tmp\std rt.exe
Contient le cheval de troie TR\Gendal A 3851

Et lorsque je coche "déplacer en quarantaine" ou "refuser l'accès", l'alerte réapparait avec la même alerte, seule le dossier mrt7F78.tmp dans lequel se trouve l'exe change et devient mrt70D8. Il peut s'en créer des dizaines...

[invitec04351b8]

Bonjour,

ce fichier semble lié à Windows Media Center qui est lié à certaines releases de Windows 7.

Tu sembles sous Server2008.

Tu as installé Windows Media Center ?

Si oui, tu t'en sers ?

De plus, le fichier n'est pas signalé par tous les antivirus, pas seulement celui de Microsoft mais aussi Kasperski.

Il est envisageable de le mettre en exception pour éviter les alertes.

@+

[invite2a53abdb]

ah justement, je vous expliquais au début, que j'avais eu, pendant longtemps des problèmes avec windows media center qui se lançait tout seul et usait la bande passante en chargeant plusieurs radios, par exemple, en même temps.
ça s'est arrêté du jour au lendemain sans que je fasse quoi que ce soit. Et ensuite, mon anti-virus a commencé a afficher des alertes en boucle pour le cheval de troie.

Non je n'ai pas installé windows media center, il était présent avec windows 7 à priori lorsque j'ai eu mon pc. Je ne me sers pas de WMC en plus et je n'ai pas su comment le désinstaller pour ne plus avoir de problème.

Il y a un virus qui s'est lié à WMC ?

[invitec04351b8]

Re,

relance ZHPFix avec ces lignes

Code:

O4 - HKCU\..\Run: [RGSC] C:\Program Files\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe (.not file.)
O4 - HKUS\S-1-5-21-1598917359-3298417873-3862208162-1000\..\Run: [RGSC] C:\Program Files\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe (.not file.)

Vérifie que tu n'as pas des mises à jour en attente (en particulier pour Windows Media Center).

@+

[invite2a53abdb]

Il n'y a pas de mise à jour en attente actuellement

[invitec04351b8]

Re,


On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

http://www.bleepingcomputer.com/comb...liser-combofix


* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.

@+

[invite2a53abdb]

Combofix ne démarre pas : il m'indique qu'il n'est pas fait pour les serveurs.
Cela me semble assez curieux, ma version de Windows étant une version 7 Pro standard.

[invitec04351b8]

Re,

ZHPDiag aussi considère que tu es sous Windows 2008 et non sous Windows 7;

Tu as achete ton ordi avec quel OS ?

Tu as fait des modifs dessus ?

@+

[invite2a53abdb]

J'ai acheté mon Windows sur Ebay. Le PC était fourni sans OS.
Ensuite j'ai un multi boot avec un Linux. Cela peut-il pour une raison quelconque influer sur cette information ?

[invitec04351b8]

Bonjour,

on va essayer de désacctiver ce WMC.

-> panneau de configuration'
-> programmes
-> activer ou désactiver des fonctionnalités de windows (programmes et fonctionnalités)

Tu cherches les fonctionnalités multimédias et tu décoches média center

Tu vides les fichiers temporaires (ATF Cleaner).

Fais redémarrer l'ordi.

Tu as toujours l'alerte ?

@+

[invite2a53abdb]

Bonjour,
Lorsque je veux aller dans la partie "activer/désactiver..." un message d'erreur apparait :

Windows ne trouve pas 'C:\....\Administrative Tools\Server Manager.lnk'.érifiez que vous avez entré le nom correct puis réessayez'

Curieux, non ?

[invitec04351b8]

Bonjour,

est ce que tu le trouves ?

(c'est un raccourci)

@+