Fichier Infecté Par Trojan.downloader.gadja.a Impossible À Traiter
En faisant une analyse antivirale comme chaque jour BitDefender a trouvé hier un fichier in1.tmp comme étant infecté par Trojan.Downloader.Gadja.A
Or impossible de le supprimer ou de le désinfecter. Tout ce que je peux faire c'est le placer en quarantaine mais apparement il reste dans à son emplacement étant donné qu'à chaque analyse il le redétecte et que je ne peux à chaque fois que la placer en quarantaine.
Si je cherche à l'effacer manuellement un message me dit que c'est impossible et j'ai un message d'alerte de BitDefender me disant qu'il l'a bloqué. De même avec un utilitaire de nettoyage (ClearProg ici).
Quelqu'un a une idée, s'il vous plait ?
Réponses
-
En faisant une analyse antivirale comme chaque jour BitDefender a trouvé hier un fichier in1.tmp comme étant infecté par Trojan.Downloader.Gadja.A
Or impossible de le supprimer ou de le désinfecter. Tout ce que je peux faire c'est le placer en quarantaine mais apparement il reste dans à son emplacement étant donné qu'à chaque analyse il le redétecte et que je ne peux à chaque fois que la placer en quarantaine.
Si je cherche à l'effacer manuellement un message me dit que c'est impossible et j'ai un message d'alerte de BitDefender me disant qu'il l'a bloqué. De même avec un utilitaire de nettoyage (ClearProg ici).
Quelqu'un a une idée, s'il vous plait ?
Nous vous invitons à suivre le guide disponible au lien ci-dessous :
http://supportep.fr/4/BD-2009-GreenV3.pdf
/!\ Attention : procéder à une désinfection comporte toujours un risque (minime mais bien présent), aussi, nous vous conseillons de procéder à des sauvegardes de vos documents si vous l'estimez nécessaire avant de suivre nos recommandations.
Ceci effectué, installez puis exécutez pour finaliser l'outil Microsoft disponible à ce lien :
http://www.microsoft.com/downloads/details...b3-75b8eb148356
Ensuite, exécutez de même l'outil Anti-Downadup disponible à ce lien qui fera une rapide analyse complémentaire (dans une fenêtre noire) :
ftp://ftp.editions-profil.fr/support/Remo...ti-Downadup.exe
/!\ : NE PASSEZ PAS A LA SUITE SANS AVOIR REALISE LES POINTS CI-DESSUS SINON LES RAPPORTS SERONT INCOMPLETS.
*********************************************************
> Si les codes malveillants semblaient toujours se manifester malgré les manipulations données dans ce guide, veuillez nous fournir :
>> Vos rapports runscanner :
Pour ceci, exécuter le logiciel disponible au lien ci-dessous :
ftp://ftp.editions-profil.fr/support/runscanner1-6.exe
- Une fenêtre s'ouvrira dans laquelle il faudra cocher la case "Beginner mode" puis cliquer sur "Ok".
- Il vous faudra ensuite sur la prochaine fenêtre cocher en supplément la case "Save a binary .run file (optional)" et cliquer en bas sur "Start full computer scan".
- Deux écrans s'afficheront l'un après l'autre vous proposant l'enregistrement de deux fichiers qu'il faudra ensuite nous faire parvenir en pièces jointes.
>> Votre rapport Logs-BD.tar :
Pour obtenir cet élément exécutez le fichier disponible au lien ci-dessous :
ftp://ftp.editions-profil.fr/support/Logs-BD.exe
Ceci générera sur votre bureau le fichier "Logs-BD" qu'il faudra joindre à l'email de réponse.0 -
Merci de votre réponse.
J'ai rigoureusement suivi la procédure indiquée mais le problème demeure.
Une analyse antivirale après toutes les manoeuvres révèle toujours un fichier in1.tmp infecté par Trojan.Downloader.Gadja.A et se trouvant dans C:\Documents and Settings\MonNom\Local Settings\temp
Pas de message de blocage pour le moment sauf quand je lance ClearProg pour netoyer. C'est à ce moment là qu'apparait le message de blocage du ou des fichiers.
Il est toujours impossible de le désinfecter ou de le supprimer, la seule option possible est le déplacement en quarantaine.
Impossible également de l'effacer manuellement en Mode Sans Echec.
J'ai à nouveau lancé la soumission des fichiers à BitDefender depuis la Quarantaine dans l'onglet Antivirus du mode avancé.
Je suppose que le pare-feu de BitDefender le bloque mais j'aimerais quand même m'en débarasser.
J'ai essayé de joindre à ce post le second fichier runscanner (celui en .run) mais impossible de le joindre, de même pour celui fourni par Logs-BD. Il est marqué Upload failed. You are not permitted to upload this type of file. Impossible de les joindre également en les zippant./applications/core/interface/file/attachment.php?id=4846" data-fileid="4846" rel="">Scan.log
0 -
Je joins les autres fichiers émis par les autres logiciels.
J'ai remarqué aussi que les menus des logiciels tel que Paint ou du Bloc-Note (Fichier-Edition-Format-...) apparaissent désormais en blanc alors que ce n'était pas le cas avant d'effectuer toutes les opérations demandées./applications/core/interface/file/attachment.php?id=4847" data-fileid="4847" rel="">log.txt
/applications/core/interface/file/attachment.php?id=4848" data-fileid="4848" rel="">rapport.txt
0 -
A noter que je pense savoir quel site m'a refilé ce problème.
Il s'agirait du site album.fr (le réseau de librairies).
Un ami sous Mac m'a signalé qu'en essayant d'y aller un message de Safari lui a déconseillé du fait de la présence de Code Malveillant.
M'y étant connecté au moment où j'ai eu le premier message de blocage je suppose que c'est sans doute lié.0 -
A noter que je pense savoir quel site m'a refilé ce problème.
Il s'agirait du site album.fr (le réseau de librairies).
Un ami sous Mac m'a signalé qu'en essayant d'y aller un message de Safari lui a déconseillé du fait de la présence de Code Malveillant.
M'y étant connecté au moment où j'ai eu le premier message de blocage je suppose que c'est sans doute lié.
Effectivement, par contre il faudrait lancer Combofix en mode sans echec,
Faites un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe
Cordialement,
-Max-0 -
Merci de votre réponse.
J'ai fait comme indiqué et je joins le fichier obtenu après exécution de Combofix en mode sans échec avec le glisser/déposer du fichier CFScript.
A noter que BitDefender m'a indiqué que le fichier in1.tmp infecté était toujours là et qu'il l'avait (une nouvelle fois) bloqué./applications/core/interface/file/attachment.php?id=4853" data-fileid="4853" rel="">log.txt
0 -
Merci de votre réponse.
J'ai fait comme indiqué et je joins le fichier obtenu après exécution de Combofix en mode sans échec avec le glisser/déposer du fichier CFScript.
A noter que BitDefender m'a indiqué que le fichier in1.tmp infecté était toujours là et qu'il l'avait (une nouvelle fois) bloqué.
Re,
J'ai refait le patch à appliquer sur combofix, par contre il faut vraiment le faire en mode sans échec sinon cela ne fonctionnera pas.
Les rapports indiquent que les manipulations faites sont en mode normal, pour démarrer en mode sans échec,
http://www.malekal.com/modesansechec.php
Cordialement,
-Max-0 -
En fait Combofix redémarrait en cours de route. Cette fois je l'ai forcé à le faire en mode sans échec jusqu'à la fin de l'analyse.
Je joins le fichier obtenu mais je vous signale le fichier in1.tmp infecté demeure présent./applications/core/interface/file/attachment.php?id=4855" data-fileid="4855" rel="">log.txt
0 -
En fait Combofix redémarrait en cours de route. Cette fois je l'ai forcé à le faire en mode sans échec jusqu'à la fin de l'analyse.
Je joins le fichier obtenu mais je vous signale le fichier in1.tmp infecté demeure présent.
Il faudrait le supprimé manuellement, et lancer une analyse approfondie de Bitdefender avec suppression.
Cordialement
-Max-0 -
J'ai déjà essayé de le faire aussi bien sous XP classique qu'en Mode Sans Echec. Il est marqué Suppression Impossible car le fichier est soit protégé sous utilisé actuellement.
De même avec BitDefender la désinfection et la suppression ne marchent pas (il y a marqué échec de ...) et je ne peux que le mettre en quarantaine (mais il reste présent au même endroit).
Par contre il y a désormais marqué in2.tmp comme nom du fichier infecté (et plus in1.tmp).0 -
J'ai déjà essayé de le faire aussi bien sous XP classique qu'en Mode Sans Echec. Il est marqué Suppression Impossible car le fichier est soit protégé sous utilisé actuellement.
De même avec BitDefender la désinfection et la suppression ne marchent pas (il y a marqué échec de ...) et je ne peux que le mettre en quarantaine (mais il reste présent au même endroit).
Par contre il y a désormais marqué in2.tmp comme nom du fichier infecté (et plus in1.tmp).
Il se situe où sur la machine?0 -
Au même endroit, dans C:\Documents and Settings\Florent\Local Settings\temp
0 -
Au même endroit, dans C:\Documents and Settings\Florent\Local Settings\temp
je vous ai fait un petit ****** combofix a effectuer en mode sans échec:0 -
Je viens de faire comme vous m'avez indiqué (je joins d'ailleurs le rapport de Combofix).
Par contre un fichier infecté est toujours présent dans C:\Documents and Settings\Florent\Local Settings\temp (et que je ne peux que placer en quarantaine) et s'appelle une nouvelle fois in1.tmp
J'ai l'impression d'être dans Un jour sans fin .../applications/core/interface/file/attachment.php?id=4867" data-fileid="4867" rel="">log.txt
0 -
Je viens de faire comme vous m'avez indiqué (je joins d'ailleurs le rapport de Combofix).
Par contre un fichier infecté est toujours présent dans C:\Documents and Settings\Florent\Local Settings\temp (et que je ne peux que placer en quarantaine) et s'appelle une nouvelle fois in1.tmp
J'ai l'impression d'être dans Un jour sans fin ...
Est'il possible de prendre le contrôle à distance de la machine?0 -
Apparement oui.
Je suis allé dans les Propriétés du Poste de Travail et dans l'onglet A Distance Autorisez l'envoi d'invitations d'assistance à distance à partir de cet ordinateur est coché. De même dans le menu qui apparait en cliquant sur Avancées.
Vous souhaitez opérer ainsi ? Je ne l'ai jamais encore fait (et ne sait donc pas vraiment comment faire).0 -
Apparement oui.
Je suis allé dans les Propriétés du Poste de Travail et dans l'onglet A Distance Autorisez l'envoi d'invitations d'assistance à distance à partir de cet ordinateur est coché. De même dans le menu qui apparait en cliquant sur Avancées.
Vous souhaitez opérer ainsi ? Je ne l'ai jamais encore fait (et ne sait donc pas vraiment comment faire).
Et executez a chaque fois, autorisez toutes les alertes par oui ou ok.
Cordialement,
-Max-0 -
Merci de votre aide pour cette (longue) prise en main à distance.
Je n'ai malheureusement pas pu utiliser le CD de secours BitDefender vu qu'à chaque fois il reste bloqué sur l'écran visible sur la photo ci-dessous.
Le fichier in1.tmp revient à chaque démarrage et je l'efface avec Unlocker comme vous me l'avez montré.
J'espère que le Laboratoire de BitDefender pourra trouver ce qui cloche.
Je n'y connais pas grand chose mais je trouve bizarre que ce fichier revienne tout le temps comme si comme vous l'avez dit il était regénéré par un programme mais que BitDefender ne trouve pas de programme suspect, juste ce fichier.
Merci en tout cas pour tous vos efforts.
P.S. : A noter que désormais quand je branche un périphérique en USB tel une clé si BitDefender me demande comme d'habitude de faire un scan antivirus (ce que je fais toujours) je n'ai plus le panneau de Windows me demandant quelle action je veux effectuer.
Je ne sais pas comment reconfigurer XP pour ça mais j'espère que ce n'est pas lié à ce fichier infecté.0 -
Je complète le PS en signalant qu'il en est de même pour les CD mis dans le lecteur.
J'ai par ailleurs regardé dans All Users et Default User de Documents and Settings et aucun d'eux n'a de fichier suspect ni même de fichier in1.tmp0 -
Après avoir redémarré mon ordinateur j'ai lancé une analyse Spybot puis une de BitDefender Approfondie.
Une fois cette dernière terminé il m'a indiqué avoir trouvé deux fichiers infectés. Il s'agit de ces deux :
C:\System Volume Information\_restore{188E40F0-ED0E-4229-A9C6-C6CA03F40F1B}\RP2\A0000793.old
C:\Qoobox\Quarantine\C\Documents and Settings\Florent\Local Settings\temp\in1.tmp.vir
BitDefender m'a indiqué qu'il étaient contaminés par Trojan.Gadja.Injected et qu'il les a supprimés.
A noter que le fichier in1.temp (que j'efface désormais à chaque démarrage) a été indiqué comme bloqué du fait de la présence de Trojan.Gadja.Injected.A (alors qu'au début de mes problèmes il était indiqué comme contaminé par Trojan.Downloader.Gadja.A).
EDIT : Et après redémarrage après toutes ces analyses in1.temp est toujours présent (et contaminé par Trojan.Gadja.Injected.A) avant que je l'efface.0 -
Après avoir redémarré mon ordinateur j'ai lancé une analyse Spybot puis une de BitDefender Approfondie.
Une fois cette dernière terminé il m'a indiqué avoir trouvé deux fichiers infectés. Il s'agit de ces deux :
C:\System Volume Information\_restore{188E40F0-ED0E-4229-A9C6-C6CA03F40F1B}\RP2\A0000793.old
C:\Qoobox\Quarantine\C\Documents and Settings\Florent\Local Settings\temp\in1.tmp.vir
BitDefender m'a indiqué qu'il étaient contaminés par Trojan.Gadja.Injected et qu'il les a supprimés.
A noter que le fichier in1.temp (que j'efface désormais à chaque démarrage) a été indiqué comme bloqué du fait de la présence de Trojan.Gadja.Injected.A (alors qu'au début de mes problèmes il était indiqué comme contaminé par Trojan.Downloader.Gadja.A).
EDIT : Et après redémarrage après toutes ces analyses in1.temp est toujours présent (et contaminé par Trojan.Gadja.Injected.A) avant que je l'efface.
Qu'a donnez l'analyse avec le live CD bitdefender?
Cordialement,
Max0 -
Comme je l'ai dit précédemment il m'a été impossible de lancer le Live CD BitDefender vu qu'à chaque fois il reste bloqué sur l'écran visible sur la photo ci-dessous.
Depuis mon dernier message j'ai lancé plusieurs analyses approfondies (après avoir effacé in1.temp comme à chaque démarrage) et il n'a trouvé à chaque fois aucun fichier infecté.0 -
Bonjour,
J'ai eu la même chose sur mon PC. En fait ce virus (chez moi nommé trojan.gadja.injected.a) renomme le fichier USERINIT.EXE de votre dossier \system32 en stu2.exe (ou peut-être un autre nom).
J'ai vu que la date de mon userinit.exe était trop récente pour être honnête. J'ai donc fait une recherche de tous les userinit.exe que j'avais dans \windows et sous dossiers. J'en ai trouvé un notamment dans le dossier du service pack et il n'avait pas la même taille (26 Ko contr 17 pour l'intrus).
Je l'ai comparé en mode binaire (avec araxis merge) à stu2.exe et les deux fichiers (mon userinit.exe original et stu2.exe) étaient exactement les mêmes. J'ai donc renommé le userinit.exe de 17 ko en .OLD et renommé le stu2.exe en userinit.exe.
Après quelques prières de circonstances et deux ou trois chèvres sacrifiées (après un bon backup!!!), j'ai eu le courage de rebooter mon PC et la joie de constater que je n'avais plus aucun fichier temporaires vérolés et non supprimables par BitDefender.
Si ça marche pour vous également, c'est un grand plaisir !
Bonne journée !
Dan0 -
Je complète le PS en signalant qu'il en est de même pour les CD mis dans le lecteur.
J'ai par ailleurs regardé dans All Users et Default User de Documents and Settings et aucun d'eux n'a de fichier suspect ni même de fichier in1.tmp
Cela signifie qu'il y a un conflit matériel non compatible linux. Pour être tranquille vous pouvez tenter de réinstaller Windows ou de faire une tenteer une réparation, avec Acer en tapotant F8 sur votre clavier, vous avez une ligne de réparation Windows.
Cordialement,
-Max-0 -
Merci de votre conseil.
Que pensez-vous de la procédure décrite ci-dessus ? Elle semble résoudre le problème mais est-elle sans risque ?0 -
Merci de votre conseil.
Que pensez-vous de la procédure décrite ci-dessus ? Elle semble résoudre le problème mais est-elle sans risque ?
Vous pouvez mais faites quand même des sauvegardes, attention également car votre restauration système Windows est egalement infecté.
Cordialement,
-Max-0 -
Impossible de réinstaller Windows vu qu'aucun disque de réinstallation n'était fourni avec mon ordinateur et la réparation Windows ne fonctionne pas. Pour la restauration système les points de sauvegarde ont été effacé lors des manoeuvres précédentes et je l'ai décochée depuis.
J'espère une éventuelle autre solution sinon je compte sans doute appliquer la procédure indiquée par danbybit.
Je confirme comme il l'a indiqué l'aspect suspect de userinit.exe et la présence de stu2.exe.
En effet userinit.exe est indiqué comme modifié le mardi 3 mars 2009, 13:58:34 ce qui correspont au jour et au créneau horaire où mes ennuis ont commencé. Le fichier stu2.exe est indiqué comme créé le mardi 3 mars 2009, 13:58:39 alors qu'il aurait été Modifié le lundi 14 avril 2008, 04:34:26 (et comme je n'ai pas touché à l'horloge ça me semble bizarre).0 -
Allez mon ami,
fais un back up et lance toi. Pas de risque si tu fais exactement ce que j'ai décrit.
A+
Dan0 -
Après avoir fait des sauvegardes de toutes mes données j'ai suivi la procédure de danbybit et effectivement il n'y a plus de fichier suspect in1.tmp créé.
J'ai fait une analyse antivirale approfondie de mon PC et il n'a pas trouvé de fichiers suspects ou infectés.
Je l'ai redémarré deux fois et toujours aucun problème à l'horizon, je touche du bois.
Je garde les logiciels que vous m'avez installé -Max- au cas où (même si j'espère qu'ils ne serviront pas).
La seule différence par rapport à avant c'est que je n'ai pas le panneau de choix d'exécution quand je connecte un périphérique de stockage en USB ou quand j'insère un CD (et ce malgré le cochage de l'option Me demander à chaque fois de choisir une action dans l'onglet Exécution automatique) et je suis donc obligé d'aller dans Poste de travail mais il est vrai je préfère ça à un ordi infecté et indésinfectable ...0 -
Après avoir fait des sauvegardes de toutes mes données j'ai suivi la procédure de danbybit et effectivement il n'y a plus de fichier suspect in1.tmp créé.
J'ai fait une analyse antivirale approfondie de mon PC et il n'a pas trouvé de fichiers suspects ou infectés.
Je l'ai redémarré deux fois et toujours aucun problème à l'horizon, je touche du bois.
Je garde les logiciels que vous m'avez installé -Max- au cas où (même si j'espère qu'ils ne serviront pas).
La seule différence par rapport à avant c'est que je n'ai pas le panneau de choix d'exécution quand je connecte un périphérique de stockage en USB ou quand j'insère un CD (et ce malgré le cochage de l'option Me demander à chaque fois de choisir une action dans l'onglet Exécution automatique) et je suis donc obligé d'aller dans Poste de travail mais il est vrai je préfère ça à un ordi infecté et indésinfectable ...
Bonjour NWM,
C'est l'autorun qui a du etre désactivé. Vous pouvez tenter un scandisc.
Cordialement,
-Max-
ps: je cloture comme résolu.0
Leaders
Catégories
- Toutes les catégories
- 628 Windows
- 33 Mac
- 99 Mobile Security
- 239 VPN
- 246 Central et abonnements
- 139 Autres produits et services
- 78 Équipe de recherche sur la sécurité
- 30 Fonctionnalités du produit et idéation
- 86 Thèmes généraux
- 7.2K Particuliers & bureau à domicile
- 575 Malwares et envoi dexemples
- 2.7K Vieux sujets
- Archiver