Virus Gen:variant.kazy 5 2 8 1 8

bonjour,

J'ai un virus sous le nom Gen:Variant.Kazy 5 2 8 1 8

Accédé par msimmc.exe

destination C:Windows/system32/Wimmgt.exe

suite a plusieurs analyse bitdefender mon pc est ok , mais a chaque demarrage du PC bitdefender s'ouvre et me dit "bitdefender a bloqué un virus! "

par contre j'aimerai bien l'enlever sans reformater mon pc

merci d'avance seb2a

Trouver d'autres publications étiquetées avec

Réponses

Yann A.

Bonjour seb2a,

Faites moi parvenir le dernier rapport d'analyse de Bitdefender et suivez les manipulations ci-dessous pour me renvoyer les fichiers demandés.

* Téléchargez et enregistrez sur votre disque le programme Rogue Killer depuis le site suivant :

http://www.sur-la-toile.com/RogueKiller/

- Une fois enregistré, renommez le fichier roguekiller.exe (l'extension .exe peut être masquée) en winlog.exe (ne mettez pas l'extension .exe si elle était cachée

- Ensuite exécutez le programme renommé, winlog

- Une fenêtre devrait apparaitre à l'écran

- Attendez que le menu apparaisse et tapez 1 au clavier, validez par Entrée

- Une fois la recherche terminée, un rapport s'affichera à l'écran, faites moi parvenir ce rapport

- ensuite ouvrez le panneau de configuration puis double-cliquez sur Système

- cliquez sur l'onglet Matériel puis sur l'onglet Gestionnaire de périphériques

- cliquez sur le menu Affichage et cliquez sur Afficher les périphériques cachés

- cliquez sur le + devant 'Périphériques système', faites une copie d'écran

- agrandissez la fenêtre au maximum, puis cliquez sur le + devant 'Pilotes non plud and play'

- faites une autre copie d'écran de ce qui apparait (on doit voir tous les pilotes non plug and play, toute la liste) et faites moi parvenir cette capture d'écran.

Si vous ne savez pas en faire voici le lien qui vous explique comment faire:

http://www.astwinds.com/astuces/captureecran.html

* Rapports du système

1. Rendez vous sur notre site au lien ci-dessous :

http://logs.supportbd.com

Cliquez sur le bouton "Cliquez ici pour générer le rapport" puis exécuter le fichier "Infralogs" qui sera proposé.

Une fenêtre s'ouvrira où un bouton vous proposera d'envoyer automatiquement les éléments, ceci fait un numéro de dossier vous sera donné qu'il faudra nous communiquer en réponse.

2. Veuillez enregistrer sur votre bureau puis exécuter le logiciel disponible au lien ci-dessous :

ftp://ftp.editions-profil.fr/support/runscanner1-6.exe

- Une fenêtre s'ouvrira dans laquelle il faudra cocher la case "Beginner mode" puis cliquer sur "Ok".

- Cliquez en haut sur le bouton "Start full scan".

- Un écran s'affichera pour vous proposer l'enregistrement d'un fichier qu'il faudra ensuite nous faire parvenir en pièces jointes

Pour me faire parvenir l'ensemble des fichiers demandés, utilisez le système d'hébergement de fichier gratuit d'OVH, http://demo.ovh.com/fr/ (ou tout autre service d'hébergement de fichiers comme dl.free.fr fileserve.com rapidshare.com ou up.sur-la-toile.com). Une fois que les fichier sont en ligne, vous recevrez un mail vous donnant l'adresse de téléchargement, transmettez moi alors cette adresse afin que je puisse récupérer le fichier mis en ligne.

Cordialement,

Yann

seb2a

bonjour et merci pour votre reponse rapide

bitdefender est entraint d'analysé mon pc

voici deja les rapports demandés

http://demo.ovh.com/fr/2ffedf318a198fb5b1467b9d280104f5/

merci d'avance

seb2a

bonjour et merci pour votre reponse rapide

bitdefender est entraint d'analysé mon pc

voici deja les rapports demandés

http://demo.ovh.com/fr/2ffedf318a198fb5b1467b9d280104f5/

merci d'avance

voici le journal de bitdef. http://demo.ovh.com/fr/41e04a27a722c555f1ac80361cbd6063/

seb2a

Yann A.

Bonjour seb2a,

Il n'y a rien de bien méchant. Le fichier qui est détecté se trouve dans la corbeille.

Pour le supprimer, procédez ainsi :

- ouvrez Bitdefender, cliquez sur Configuration puis allez sur l'onglet Antivirus

- passe l'analyse à l'accès sur Off et choisissez en Permanence.

- ensuite cliquez avec le bouton droit de la souris sur la Corbeille et choisissez de la vider.

- ensuite relancez Roguekiller que vous aviez renommé en Winlog (car quelques éléments suspects ont été détectés)

- une fenêtre devrait apparaitre à l'écran

- attendez que le menu apparaisse et tapez 2 au clavier, validez par Entrée

- une fois le nettoyage terminé, si un redémarrage est nécessaire acceptez le, ensuite réactivez l'analyse à l'accès dans Bitdfender

Enfin retournez dans la console de Bitdefender, sur l'onglet Antivirus, cliquez sur le menu 'Analyser maintenant' puis choisissez 'Mode de secours', acceptez le redémarrage du système. Le système va redémarré sur le mode de secours de Bitdefender. Une fois sous le mode de secours, une mise à jour de Bitdefender devrait se lancer. Ensuite cliquez sur le Bouclier pour lancer l'analyse puis sélectionnez le disque dans lequel se trouve votre système (vous aurez le choix entre Sda1, Sda2, Sda3). Attendez que l'analyse se termine.

Une fois l'analyse terminée (retenez le résultat de l'analyse), fermez la fenre en cliquant sur Sortir, cliquez dans le dock en bas sur le bouton représentant l'extinction de l'ordinateur puis choisissez Redémarrer.

Cordialement,

Yann

seb2a

bonjour yann,

merci pour ces reponses rapide , donc pour mon essaie

il n'existe pas de mode 2 dans le Roguekiller , (voir photo) par contre j'ai fais un scan puis supprimmé

ensuite dans bitdefedner ( version 2011) je n'est pas la fonction mode secours ou alors je la trouve pas voir photo

pouvez vous me dire quoi faire merci beaucoup

/applications/core/interface/file/attachment.php?id=9232" data-fileid="9232" rel="">RKreport_2_.txt

RKreport_2_.txt

seb2a

RogueKiller V7.2.0 [27/02/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: http://www.sur-la-toile.com/discussion-193...-Remontees.html

Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version

Demarrage : Mode normal

Utilisateur: Seb [Droits d'admin]

Mode: Suppression -- Date: 03/03/2012 18:02:30

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 4 ¤¤¤

[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REPLACED (2)

[HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1)

[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST3160812AS +++++

--- User ---

[MBR] 99ea94ef28f0e4d8f3e03113c89b9e3b

[bSP] e1512b0ac44c8253e420e9048025fb5e : Windows 7 MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 152485 Mo

User = LL1 ... OK!

User = LL2 ... OK!

+++++ PhysicalDrive1: WDC WD7500AAKS-00RBA0 +++++

--- User ---

[MBR] 7cba75a7ce992d43b99a0829e603fba6

[bSP] 165a127f9f18c9199b66114249baa0e2 : Windows XP MBR Code

Partition table:

0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 715402 Mo

User = LL1 ... OK!

User = LL2 ... OK!

+++++ PhysicalDrive2: SAMSUNG HD103UJ +++++

--- User ---

[MBR] 676fc7b4415a130218bfdb11335c34c1

[bSP] c58a1d05cb12cb2288b9d5c7dbc2d885 : Windows Vista MBR Code

Partition table:

0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 953867 Mo

User = LL1 ... OK!

User = LL2 ... OK!

Termine : << RKreport[2].txt >>

RKreport[1].txt ; RKreport[2].txt

Yann A.

Bonjour seb2a,

Désolé l'interface a effectivement changé. Est-ce que suite à cette analyse, vous recevez toujours la même alerte ?

Si vous avez la version 2011, je vous suggère de migrer à la 2012 (le mode de secours est disponible dans cette version) en suivant les manipulations indiquées dans ce topic ci-dessous. Une fois installé, mis à jour, lancez une analyse complète.

Pour migrer à la version 2012 :

http://forum.bitdefender.com/index.php?showtopic=28345

Cordialement,

Yann

seb2a

bonjour yann

Suite au passage au bitdefender 2012 et en mode secours bitdefendder a eliminé un virus , qui depuis a chaque demarrage du pc ne s'affiche plus en bas a droite (bitdefender a bloqué un virus) cependant a chaque demarrage meme avant avec bitdefender 2011 et maintenant 2012 je perd a chaque fois ma page d'accueille (GOOGLE) et j'ai toujours "about:blank" je pense qu'il doit y avoir un lien avec ce virus

qu'en pensez vous

et merci encore pour cette aide

seb2a

eratum

l'ancien virus s'appelais gen : variant kazy 52818

mais aujourdh'ui bitdefender me dis qu'il s'appel trojan generic KD 553820

pareil il est dans le system 32 / winmgt.exe

Yann A.

Bonjour seb2a,

Redémarrez Windows, lancez une nouvelle analyse complète, faites moi parvenir le rapport d'analyse et suivez les manipulations ci-dessous pour me renvoyer les fichiers demandés :

1. Rapport bdsyslog :

- Enregistrez sur votre bureau le fichier BDSYS depuis ce lien :

http://www.bitdefender.com/files/Knowledge.../BDSysLog_i.exe

- Fermez toutes les applications actives et désactivez l'analyse à l'accès dans Bitdefender (Configuration, Antivirus, Analyse à l'accès sur Off), choisissez en permanence. Vous pourrez réactiver l'analyse à l'accès une fois les opérations terminées

- Ensuite lancez le programme précédemment téléchargé, BDSysLog_i.exe. Si vous recevez une alerte de parefeu demandant l'autorisation de connexion, acceptez.

Ensuite cliquez sur 'Create log' pour commencer la création du rapport. Une bar de progression indiquera l'état d'avancement de la création du rapport.

Quand une petite fenêtre apparaîtra avec le message 'Log saved', alors la création du rapport sera terminée. Un fichier nommé 'bdsyslog.zip' sera alors présent sur votre bureau, c'est ce fichier qu'il faut nous faire parvenir.

2. Faites nous parvenir le rapport Gmer comme indiqué ci-dessous :

- Téléchargez le fichier gmer.zip depuis le lien-ci-dessous :

http://www.gmer.net/gmer.zip

- Une fois le fichier enregistré, décompressez son contenu (il faut extraire le fichier de l'archive) sur le disque dur C:, un programme nommé gmer (ou gmer.exe) sera créé sur le disque

- Exécutez le programme gmer.exe (ou gmer) qui se trouve sur C:

- Une fenêtre s'ouvrira, attendez que l'analyse d'introduction se termine puis cliquez sur l'onglet Rootkit (en haut il faut développer les onglets en cliquant sur >>). Puis cliquez sur le bouton 'Scan' en bas à droite.

- Une analyse va démarrer, attendez qu'elle se termine.

- A la fin de l'analyse, cliquez sur le bouton "Save..." et enregistrez le rapport sur votre bureau, nommez le gmer.log

(Si jamais le bouton "Save..." n'apparait pas, cliquez sur le bouton Copy et ouvrez le programme bloc-note (notepad), cliquez dans le menu Edition puis choisissez Coller. Ensuite allez dans le menu Fichier et choississez Enregistrer sous (choississez comme nom gmer et enregistrez le sur le bureau)).

- Faites nous parvenir le fichier gmer.log

4. Rendez vous sur notre site au lien ci-dessous :

http://logs.supportbd.com

Cliquez sur le bouton "Cliquez ici pour générer le rapport" puis exécuter le fichier "Infralogs" qui sera proposé.

Une fenêtre s'ouvrira où un bouton vous proposera d'envoyer automatiquement les éléments, ceci fait un numéro de dossier vous sera donné qu'il faudra nous communiquer en réponse. Si l'envoi du rapport échoue, faites nous parvenir le fichier rapports-bitdefender.zip qui aura été normalement créé sur le bureau.

5. Téléchargez le programme Hijackthis qui se trouve en téléchargement sur la page web suivante (cliquez sur le lien ci-dessous puis cliquez sur Télécharger sur le page):

http://www.clubic.com/lancer-le-telecharge...hijackthis.html

Après avoir sauvegarder le programme sur votre bureau, exécutez le pour démarrer l'installation. Ensuite éxécutez le pour nous envoyer le fichier de diagnostic nous permettant d'avoir plus

d'informations sur votre problème vous devez :

- cliquer sur "ok" dans le cas où une fenêtre d'alerte se déclare

- choisir le bouton "Do a system scan and save a logfile"

6. Veuillez enregistrer sur votre bureau puis exécuter le logiciel disponible au lien ci-dessous :

ftp://ftp.editions-profil.fr/support/runscanner1-6.exe

- Une fenêtre s'ouvrira dans laquelle il faudra cocher la case "Beginner mode" puis cliquer sur "Ok".

- Cliquez en haut sur le bouton "Start full scan".

- Un écran s'affichera pour vous proposer l'enregistrement d'un fichier qu'il faudra ensuite nous faire parvenir en pièces jointes

Cordialement,

Yann

seb2a

bonjour

voici tous les elements demandé

http://demo.ovh.com/fr/58ee69021d13e0409c4d4e4194be4879/

j'ai eu un souci avec le bitdefender system log

merci encore

Yann A.

Bonjour seb2a,

Quel soucis avez-vous eu ? Egalement, faites moi parvenir s'il vous plaît une copie d'écran montrant les événements de l'antivirus avec le détail de la détection de cet élément sur votre poste.

Il y a un problème aussi avec Infralog (http://logs.supportbd.com), le fichier rapports-bitdefender.zip est tronqué, il manque un certain nombre d'informations.

Cordialement,

Yann

seb2a

Bonjour Yann,

je suppose que le nouveau bitdefender (le 2012) a supprimé mon virus car avant , avec le 2011 a chaque demarrage du PC bitdefender detectait un virus , et me perdais ma page d'acceuille (google) pour mettre ABOUTthank (un truc comme ca).

voici l'impression d'ecran du bitdefender et dite moi ce que vous en pensé ?

Je tiens a vous remercier quand meme pour le temps passé a mon probleme , j'attend votre reponse merci encore

Yann A.

Bonjour seb2a,

Si l'alerte ne se produit plus c'est qu'effectivement le programme malveillant a été supprimé.

Concernant 'about blank', ça n'est pas provoqué par un virus mais par un dysfonctionnement d'un option. Si cela se produit de nouveau, ouvrez Internet Explorer, allez dans 'Options internet', cliquez sur 'Par défaut', cliquez sur 'Appliquer', puis tapez dans la zone de saisie de la page de Démarrage la page d'accueil désirée, et cliquez sur le bouton Ok.

Cordialement,

Yann

seb2a

Si cela se produit de nouveau, ouvrez Internet Explorer, allez dans 'Options internet', cliquez sur 'Par défaut', cliquez sur 'Appliquer', puis tapez dans la zone de saisie de la page de Démarrage la page d'accueil désirée, et cliquez sur le bouton Ok.

Cordialement,

Yann

Bonjour Yann ,

oui effectivement c'est ce que je faisias pour internet , et apparament le virus a du etre detruit par bitdefender

merci beaucoup pour votre aide , je vous dis pas a Bientot