Malware / Fakeav / Behavelike Trojan

beconstans

bonjour,

j'ai actuellement 3 détections sans réparation possible. Que faire ??

generic.Malware.SYdg.E948743C

GenPack:Trojan.Fakeav.AD

BehaveLike:Trojan.Downloader

Des raccourcis bureau arrivent en permanence pour "quality ****" et "best zoo ****"

impossible d'en trouver la source

Merci de votre aide

Inconnu

Bonjour bernie100,

Suivez le tuto ci-dessous pour lancer un Combofix :

1 - Téléchargez le fichier au lien ci-dessous :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

2 - Redémarrez votre poste en mode sans echec (pour cela, redémarrez l'ordinateur, un peu après que les premières informations sur l'écran noir se soient affichées et avant que Windows démarre, il faut tapoter sur la touche F8 jusqu'à ce qu'un menu de démarrage apparaisse. Puis, dans le menu de démarrage de Windows, il vous faudra descendre jusqu'à la ligne 'Mode sans échec' et valider par la touche ‘Entrée’ deux fois).

3 - Lancez alors ComboFix téléchargé en 1.

4 - Quand il vous proposera le 'disclamer', appuyez sur 1 pour continuer.

5 - Combofix lancera la sauvegarde du registre puis commencera le nettoyage.

Nb : Il y a aura 41 étapes, ne touchez à rien pendant ces opérations.

6 - Quand Combofix aura fini de travailler, il créera un fichier rapport qu'il ouvrira, sauvegardez le puis faites le nous parvenir sur votre réponse ainsi que les chemins où BitDefender détecte les generic.Malware.SYdg.E948743C / GenPack:Trojan.Fakeav.AD / BehaveLike:Trojan.Downloader.

beconstans

Bonjour,

merci pour laprocédure.

Je vous envoie le fichier sorti par combofix.

Par contre, je n'ai plus les adresses des virus, car entre temps, j'ai passé "Superantispyware" qui les a supprimés.Mlagré cela, ils sont toujours présents cardétectés de temps en temps, mais plus actifs apparement. Le PC semble OK

Il faudrait quand meme pouvoir les éradiquer complètement. Bit defender ne les détecte plus.

Ils étaient de toute façon dans c.\documents and settings\HP_administrateur\lacal settings.

Que puis-je faire de plus ?

Merci de votre aide.

Bernard CONSTANS

Bonjour bernie100,

Suivez le tuto ci-dessous pour lancer un Combofix :

1 - Téléchargez le fichier au lien ci-dessous :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

2 - Redémarrez votre poste en mode sans echec (pour cela, redémarrez l'ordinateur, un peu après que les premières informations sur l'écran noir se soient affichées et avant que Windows démarre, il faut tapoter sur la touche F8 jusqu'à ce qu'un menu de démarrage apparaisse. Puis, dans le menu de démarrage de Windows, il vous faudra descendre jusqu'à la ligne 'Mode sans échec' et valider par la touche ‘Entrée’ deux fois).

3 - Lancez alors ComboFix téléchargé en 1.

4 - Quand il vous proposera le 'disclamer', appuyez sur 1 pour continuer.

5 - Combofix lancera la sauvegarde du registre puis commencera le nettoyage.

Nb : Il y a aura 41 étapes, ne touchez à rien pendant ces opérations.

6 - Quand Combofix aura fini de travailler, il créera un fichier rapport qu'il ouvrira, sauvegardez le puis faites le nous parvenir sur votre réponse ainsi que les chemins où BitDefender détecte les generic.Malware.SYdg.E948743C / GenPack:Trojan.Fakeav.AD / BehaveLike:Trojan.Downloader.

/applications/core/interface/file/attachment.php?id=3189" data-fileid="3189" rel="">log.txt

Inconnu

Bonjour,

Tout d'abord, si vous utilisez Internet Explorer 7, ouvrez le puis allez dans le menu Outils/Options internet. Cliquez sur l'onglet Avancés et cliquez sur 'Réinitialiser'.

Ensuite prenez ces deux logiciels :

- Scanbit :

ftp://ftp.editions-profil.fr/support/Scanbit.exe

- Atfcleaner :

http://www.atribune.org/ccount/click.php?id=1

Une fois téléchargé, démarrez le poste en mode sans echec (pour cela, redémarrez l'ordinateur, un peu après que les premières informations sur l'écran noir se soient affichées et avant que Windows démarre, il faut tapoter sur la touche F8 jusqu'à ce qu'un menu de démarrage apparaisse. Puis, dans le menu de démarrage de Windows, il vous faudra descendre jusqu'à la ligne 'Mode sans échec' et valider par la touche ‘Entrée’ deux fois).

Lorsque vous serez en mode sans echec :

- Lancez Atfcleaner et cliquez "select all" puis "Empty selected" pour purger tous les temporaires du poste.

- Ceci fait exécutez le fichier téléchargé "Scanbit.exe" qui proposera l'extraction dans "C:|ScanBit".

- Ceci fait double-cliquez sur le fichier scanbit.bat dans ce répertoire.

- Tapez 1 pour lancer une analyse de votre disque dur et validez par la touche Entrée

- Une fois l'analyse terminée, le menu du départ va se remettre en place, l'analyse terminée, un fichier rapport nommé analyse.txt sera créé sur C:\

- Pour quitter la fenêtre, tapez 3 et validez par la touche Entrée

Si cela continuait, n'hésitez pas à poster le fichier "analyse.txt" ainsi que votre rapport Hijackthis :

Pour Hijackthis il faut télécharger ce logiciel :

http://www.merijn.org/files/hijackthis.zip

Après avoir sauvegardé le programme sur le bureau, décompressez le pour extraire le programme hijackthis (décompressez le sur votre bureau).

Ensuite, exécutez le programme et cliquez sur "ok" dans le cas où une fenêtre d'alerte se déclare, il faudra choisir le bouton "Do a system scan and save a logfile".

Un fichier "hijackthis.log" sera créé sur le bureau.

beconstans

bonjour,

j'ai essayé, mais à l'execution de scanbit, il s'arrete et donne comme message :

"error = core initialization failed : file open failed"

sans écrire de fichier analyse.txt

Bonjour,

Tout d'abord, si vous utilisez Internet Explorer 7, ouvrez le puis allez dans le menu Outils/Options internet. Cliquez sur l'onglet Avancés et cliquez sur 'Réinitialiser'.

Ensuite prenez ces deux logiciels :

- Scanbit :

ftp://ftp.editions-profil.fr/support/Scanbit.exe

- Atfcleaner :

http://www.atribune.org/ccount/click.php?id=1

Une fois téléchargé, démarrez le poste en mode sans echec (pour cela, redémarrez l'ordinateur, un peu après que les premières informations sur l'écran noir se soient affichées et avant que Windows démarre, il faut tapoter sur la touche F8 jusqu'à ce qu'un menu de démarrage apparaisse. Puis, dans le menu de démarrage de Windows, il vous faudra descendre jusqu'à la ligne 'Mode sans échec' et valider par la touche ‘Entrée’ deux fois).

Lorsque vous serez en mode sans echec :

- Lancez Atfcleaner et cliquez "select all" puis "Empty selected" pour purger tous les temporaires du poste.

- Ceci fait exécutez le fichier téléchargé "Scanbit.exe" qui proposera l'extraction dans "C:|ScanBit".

- Ceci fait double-cliquez sur le fichier scanbit.bat dans ce répertoire.

- Tapez 1 pour lancer une analyse de votre disque dur et validez par la touche Entrée

- Une fois l'analyse terminée, le menu du départ va se remettre en place, l'analyse terminée, un fichier rapport nommé analyse.txt sera créé sur C:\

- Pour quitter la fenêtre, tapez 3 et validez par la touche Entrée

Si cela continuait, n'hésitez pas à poster le fichier "analyse.txt" ainsi que votre rapport Hijackthis :

Pour Hijackthis il faut télécharger ce logiciel :

http://www.merijn.org/files/hijackthis.zip

Après avoir sauvegardé le programme sur le bureau, décompressez le pour extraire le programme hijackthis (décompressez le sur votre bureau).

Ensuite, exécutez le programme et cliquez sur "ok" dans le cas où une fenêtre d'alerte se déclare, il faudra choisir le bouton "Do a system scan and save a logfile".

Un fichier "hijackthis.log" sera créé sur le bureau.

beconstans

pour le fichier hijackthis, il est joint

bonjour,

j'ai essayé, mais à l'execution de scanbit, il s'arrete et donne comme message :

"error = core initialization failed : file open failed"

sans écrire de fichier analyse.txt

/applications/core/interface/file/attachment.php?id=3215" data-fileid="3215" rel="">hijackthis.log

Inconnu

Bonjour,

Je viens de modifier l'outil Scanbit disponible au même lien :

ftp://ftp.editions-profil.fr/support/Scanbit.exe

Celui-ci devrait démarrer normalement désormais (il faudra confirmer si demandé l'écrasement des fichiers déjà installés).

Concernant le rapport Hijackthis, il va falloir cocher les éléments ci-dessous et demander leurs suppressions (ce sont des restes de Norton et non des codes malveillants) :

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)

Le problème semble t-il réglé après le scanbit ? Dans le cas contraire n'hésitez pas à joindre le rapport créé.

beconstans

ci joint les fichiers analyse et hijackthis

Bonjour,

Je viens de modifier l'outil Scanbit disponible au même lien :

ftp://ftp.editions-profil.fr/support/Scanbit.exe

Celui-ci devrait démarrer normalement désormais (il faudra confirmer si demandé l'écrasement des fichiers déjà installés).

Concernant le rapport Hijackthis, il va falloir cocher les éléments ci-dessous et demander leurs suppressions (ce sont des restes de Norton et non des codes malveillants) :

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)

Le problème semble t-il réglé après le scanbit ? Dans le cas contraire n'hésitez pas à joindre le rapport créé.

/applications/core/interface/file/attachment.php?id=3229" data-fileid="3229" rel="">hijackthis.log

/applications/core/interface/file/attachment.php?id=3230" data-fileid="3230" rel="">analyse.txt

Inconnu

Cela semble bon, faites tout de même une nouvelle analyse ScanBit dans 2-3 jours et postez ici le rapport si quelque chose est détecté pour plus de détails.

beconstans

Pas de nouvelle détection de scanbit.

Merci pour toute votre aide qui semble avoir résolu cette alerte.

Sincères salutations

Bernie

Cela semble bon, faites tout de même une nouvelle analyse ScanBit dans 2-3 jours et postez ici le rapport si quelque chose est détecté pour plus de détails.