Cheval de Troie "GENERIC DROPPER" ........

[jamesdean67]

Bonjour, j'ai cherché sur le forum mais je n'ai pas trouvé de sujet traitant les virus qui infeste mon ordinateur.
Si quelqu'un pouvait m'aider à supprimer ces cochonneries....merci!

Donc, mcafee détecte sans cesse les mêmes chevaux de troie
"GENERIC DROPPER"
"Adcliker-FK"
"Downloader.gen.a"

il les supprime pourtant mais ils reviennent sans cesse.
Mon ordi commence à être ralenti, parfois il plante, j'ai des messages d'erreur du type :

"A potential problem has been detected an windows has been shutdown buggy application to prevent damage to your computer"
ou:
****WXYZ.SYS-Adress F73120AE base at C00000 DateStamp 36b072A3 Kernel Debugger Using: COM2 (port Ox28f, Baud rate 192000)
ou
During scan files at system startup, potential errors in the system registry were found p-07-0100irql:1fsysver 0xff00024 NT_Kernel error 1256 KMODE_EXCEPTION_NOT_HANDLED
ou
A Critical error could occur
***STOP: 0x000007B (0xF20184, 0x00000, 0xCC0034)***
Inacessible handler or device
Click this balloon to fix the problem

je n'ai pas osé cliquer où que ce soit au sujet de ce dernier message!!!

De multiples fenêtres s'ouvrent sous IE, me disant des phrases pour que je clique sur "ok" pour soit disant protéger mon ordi, le scanner...etc...
J'ai bien compris qu'il ne faut pas les utiliser, je les ferme en utilisant la croix.

Malgré que mcafee me dit qu'il détruit les chevaux de troie, à chaque démarrage, j'ai un message mcaffe dans une fenêtre qui me dit que mcafee a détecté des fichiers suspects et que je devrais analyser mon ordi....mais lors de l'analyse...il ne trouve rien...

J'ai l'impression que mon processeur tourne à fond.
J'ai aussi dans mon poste de travail une croix rouge devant C: à la place de l'icone du disque dur ( j'espère qu'i l est pas mort)

j'ai lancé analyse avec ad-aware 2007 et spybot surch and destroy.

Adaware a trouver "FakeAlert"=>Malware
et " Win32.Trojandownloader.Zlob==>Malware

FakeAlerte a été supprimé mais pas Win32.Trojandownloader.Zlob!!

[r@in | b0w]

Bonjour.

Ca a l'air d'être un cas sérieux!

Pour commencer:

1_ Supprime tous les fichiers temporaires des dossiers C:WINDOWSTemp et C:WINDOWSPREFETECH

2_ Supprime l'historique et le cache d'Internet Explorer

3_ Redémarre ton pc en mode sans échec (F8 au démarrage) et, sans aller sur internet, fais une analyse antivirus approfondie par Mc Afee en mettant dans les options: 1ère action Désinfecter, 2ème action Supprimer.

4_ Redémarre en mode normal et fais une nouvelle analyse antivirus.

5_ Tiens-nous au courant si tu as encore des problèmes.

Ps: Trojan, logiciel malveillant permettant à un hacker/pirate de s'introduire sur un ordinateur... donc pas étonnant que celui-ci soit ralenti.

[jamesdean67]

arf je craignais ce genre de réponse......"ça à l'air sérieux" Snif
Bon je vais m'empresser de faire tout ça après manger et je reviens vous dire ce qu'il en est......
Pour les temporaires de C:Windows, c'est ce par quoi j'ai commencé....
Dossier "Prefetch aussi"

En fait j'ai créée un petit fichier .bat sur mon bureau et tous les jours avant d'éteindre mon pc je clique dessus ( commande dos) et il me vide tous les temp et les caches ainsi que le dossier prefetch........

De plus j'ai changé une valeur de clé dans la bdr pour que à l'extinction de l'ordi, les traces de surf soit supprimées de la bdr........Bref, pour dire que je suis pointilleux au niveau sécurité...je suis Deg.......

Je vais donc redémarrer en mode sans échec après avoir revérifier tout ça et analyser de façon approfondie.......

Je re tout à l'heure!! merci!! et si quelqu'un a une idée!!!!

[r@in | b0w]

arf je craignais ce genre de réponse......"ça à l'air sérieux" Snif

Attention, faut pas s'emballer quand même! Quelques malwares, un trojan... On va faire le ménage et tout ira mieux!

Je vais donc redémarrer en mode sans échec après avoir revérifier tout ça et analyser de façon approfondie.......

Pour le fichier bat, y'a aussi le logiciel Ccleaner qui fait ce genre de manipulations (fichiers temporaires, historique de surf...). Pour la manipulation de la BDR, j'ai fait la même

Si tu es si à cheval (jeu de mots) sur la sécurité, il faut peut-être aller voir du côté d'un utilisateur (enfant) ou du côté de pj de mail.

Bref, on attend la suite!

[jamesdean67]

Euh pas encore fait, on sort de table..!!
Euh pour Ccleaner oui je l'ai .....lol (en + )
Pour l'enfant, il y en a 2 mais encore trop petits pour tapoter.....en fait j'aurai dû commencer par là....
C'est arrivé en direct! Pendant une discussion sur msn, j'ai reçu un fichier, je lui ai demandé ce que c'était, il a pas répondu et......chose que je ne fais JAMAIS j'ai cliqué!!! pfffff mais quel nul!
Du coup tous mes contacts en ligne l'ont reçu aussi mais j'ai réussi à tout stopper avant que qui ce soit ne l'ouvre! ouf! je les ai quand même prévenu.
Le prob c'est que ça s'est passé sur mon pc portable connecté en WIfi.
Ma femme était sur le pc de bureau....connectée aussi sur Msn, elle l'a reçu elle a cliqué ( je peut pas la gronder j'ai fait pareil lol) mais elle n'a pas eu le reflex de tout stopper...et on a été infesté.......( j'ai bloqué le contact source....il se protège pas bien pffff) voila voila pour la petite histoire.....

[r@in | b0w]

En effet...

C'est dommage. Connais-tu le virus Pebkac?

A tout à l'heure pour les résultats.

Ps: pas mal la signature. Dans le même genre, celui qui dit ne pas apprendre chaque jour est soit idiot soit orgueilleux.

[jamesdean67]

Analyse en cours......
Euh je ne connais pas ce virus.....mais le serveur de ton lien est HS.........
A tout de suite

[r@in | b0w]

Analyse en cours......
Euh je ne connais pas ce virus.....mais le serveur de ton lien est HS.........
A tout de suite

Pardon, c'était une image qui devait vraisemblablement être chargée dans le navigateur.

Plus d'infos ici!

[jamesdean67]

Analyse toujours en cours en mode sans échec ...........

Mais déjà 1 Virus détecté dans C:Windowssystem32awtss.exe
nom du virus W32/Trats

( mais bon mcafee me l'a détecté et détruit plein de fois celui là déjà depuis ce matin)
Je me demande si le virus n'est pas dans la restauration système, ce qui lui permet malgré la destruction de revenir à chaque fois......?
Il faut peut être la désactiver pour que mcafee le détruise une bonne fois pour toutes......mais il y en a d'autres.....attendons la fin........

Est ce qu'un log HijackThis vous serait utile?

Et pour finir oui tu as bien raison.....le prob est souvent pas l'ordi lui même

[terriblement]

si ton antivirus à détecté quelque chose, refais une 2e analyse.

[jamesdean67]

Pfffff
bon il a rien trouvé de + mais une fois l'analyse finie, j'ai dû rebooter.....
normal?
là je redémarre normalement pour enlever la restauration système.......
puis je re analyse en mode sans échec?
ou alors voulez vous un log HiJackThis?

[terriblement]

si en mode sans échec il a detecté quelque chose, et que tu es à nouveau allé en mode normal, il se peut qu'une trace du virus t'ai infecté à nouveau, et donc il y a des chances pour que ton scan n'ai servi à rien.

Avec de la chance tu ne seras plus embeté...

tu as bien pensé à enlever les clés registre louches dans :

HKEY current user/SOFTWARE/MICROSOFT/WINDOWS/CURRENT VERSION/ et tout ce qui a "run" dans le nom...

dans le msconfig tu as bien décoché tout ce qui est louche ?

Hors Réponses : et de 1500 !

[jamesdean67]

Heu comment puis je savoir quelles sont les clés de registres louches????
Dans le msconfig je dois décoché dans "démarrage" tout ce qui a run c'est ça?
Et, oui mcafee au démarrage m'a direct dit qu'il avait vu un fichier suspect........grrrrrrrr
bon je fais koi là??????? snif

[r@in | b0w]

Yop.

Désolé pour l'absence.

On reprend tout calmement.

Tu as fait des analyses antivirus avec MacAfee qui reste un log performant. Il a détecté des trucs et les a normalement enlevé.
S'ils sont présents dans le système de restauration, ils seraient détectés à l'analyse suivante.
Pour nous éclairer un peu plus, poste le rapport de ton antivirus si tu as encore quelque chose de détecté. Ca montrera les chemins menant aux fichiers infectés et nous éclairera sur la manière de les supprimer.

Tu peux aussi pallier ce problème et supprimer les points de restauration. C'est radical mais on ne sait jamais.

Le mode sans échec a un seul avantage: comme son nom l'indique, il n'y a pas d'échecs dans les manipulations. Aussi, si une suppression par l'utilisateur ou par l'antivirus ne fonctionnait pas en mode normal, en mode sans échec ça marcherait.
Tu regardes les fichiers détectés par ton antivirus et, en partant sur le mode sans échec, analyse (et donc normalement suppression par l'antivirus). S'il y a encore un doute, suppression manuelle toujours en mode sans échec.

Pour le log HiJackThis, tu peux le faire mais je ne suis pas assez compétente pour l'analyser. Tu peux toujours le faire analyser par HiJackThis lui-même.

Pour résumer, on ne s'emballe pas à partir dans la BDR. Si l'analyse suivante (faite par ton antivirus ou par un antivirus en ligne) ne détecte rien, ton problème est résolu et c'est tant mieux. Si quelque chose est détecté, recherche gOOgle ou post du rapport ici pour voir comment éradiquer.

[jamesdean67]

Bonjour r@ain bOw et merci de suivre ce sujet......

Alors hier soir en mode sans échec, mcafee m'a trouvé 2 virus qu'il a supprimé mais en cliquant ensuite sur "confirmer" rien.........bug de mcafee?
J'ai dû rebooter.......en mode normal pour voir.......
Mcafee a détecter des fichiers suspects.......grrrrrrrr
Je suis retourné en mode sans échec, j'ai relancé une analyse qui s'est terminée ce matin.
Analyse faite une fois tous les Temp et Caches vidés, et la restauration système désactivée.
Analyse en mode sans echec:

Résusltat : Liste des fichiers infectés

C:program filesmcafeeagentmcagent.exe==>désinfecté /
nom du virus:W32/Trats

C:Program FilesMcAfee.comAgentMcUpdate.exe==>désinfecté/
nom du virus: W32/Trats

C:WINDOWSsystem32awtss.exe==>le fichier a été supprimé pour terminer le processus de désinfection/
nom du virus: W32/Trats

C:WINDOWSsystem32CFTMON.EXE==>désinfecté/
nom du virus: W32/Trats

J'ai ensuite redémarré en mode normal, résultat:

Fenêtre de Mcafee viruscan avant même que le bureau ne s'affiche ( ce qui me laisse penser un fichier suspect au niveau du démarrage se lance ce qui pourra être analysé avec HiJackThis plus loin?)

"McAfee ActiveShield a détecté un fichier suspect sur votre ordinateur.
McAfee vous recommande vivement de soumettre votre ordinateur à une analyse."

Une autre fenêtre qui s'ouvre 2 fois d'affilée:

"During a scan of files at system startup, potential errors in the system registry were found p-07-0100 irql: 1f SYSVER 0xff00024
NT_Kernel error 1256
KMODE_EXCEPTION_NOT_HANDLED"

Et encore une:
"The instruction at "0x01d62760" referenced memory at "0x05354e50".
The memory could not be "read. Click on OK to terminate."

Une autre:
"A potential problem has been detected and Windows has been shutdown buggy application to prevent damage to your computer.
****WXYZ.SYS- Adress F73120AE base at C00000, DateStamp 36b072A3
Kernel Debugger Using: COM2 (Port 0x28f, Baud rate 192000).

Et la dernière:

"-Unwanted and unused files/folders appear in system folders
-Incorrect files association
-System files are damages and maybe corrupted
Click Ok to fix system errors and boost overall system performance"

JE NE CLIQUE NUL PART SAUF SUR LES CROIX ROUGES POUR FERMER CES FENETRES, ON NE SAIT JAMAIS............

L'icone de Mcafee reste noire dans la barre de lancement rapide!!
Clic droit=>viruscan=>activer
"Mcafee protège maintenant votre ordinateur"
Mais l'icone reste noire!! elle devrait être rouge!



Sinon, pour HiJackThis, j'ai déjà hier soir fait un log et je l'ai copié sur sur le même lien que tu m'as donné.....il y avait des erreurs, j'ai fait "Fix checked" ( c'était avant l'analyse ci dessus)
Je viens de le refaire:

Logfile of HijackThis v1.99.1
Scan saved at 11:59, on 2008-01-22
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesLavasoftAd-Aware 2007aawservice.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSATKKBService.exe
c:program filesmcafee.comagentmcdetect.exe
c:PROGRA~1mcafee.comvsomcshield.exe
c:PROGRA~1mcafee.comagentmctskshd.exe
C:PROGRA~1McAfee.comPERSON~1MpfService.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesFichiers communsUlead SystemsDVDULCDRSvr.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSExplorer.EXE
C:PROGRA~1mcafee.comagentMcAgent.exe
C:WINDOWSSystem32svchost.exe
c:program filesmcafee.comvsomcvsshld.exe
c:progra~1mcafee.comvsomcvsescn.exe
D:Applications téléchargéesHijackThis.exe

O4 - HKLM..Run: [MCUpdateExe] c:PROGRA~1mcafee.comagentmcupdate.exe
O4 - HKLM..Run: [MCAgentExe] c:PROGRA~1mcafee.comagentMcAgent.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:Program FilesLavasoftAd-Aware 2007aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:WINDOWSsystem32Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:WINDOWSATKKBService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesFichiers communsInstallShieldDriver11Intel 32IDriverT.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:program filesmcafee.comagentmcdetect.exe
O23 - Service: McAfee Proxy Service (McProxy) - Unknown owner - c:PROGRA~1FICHIE~1mcafeemcproxymcproxy.exe (file missing)
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:PROGRA~1mcafee.comvsomcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:PROGRA~1mcafee.comagentmctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:PROGRA~1McAfee.comAgentmcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:PROGRA~1McAfee.comPERSON~1MpfService.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - Unknown owner - C:Program FilesSpyware Doctorsdhelp.exe (file missing)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:Program FilesFichiers communsUlead SystemsDVDULCDRSvr.exe

Comment je fais pour vous coller ou envoyer un impri écran du résultat de l'analyse HiJackTHis?