Votre question

Arggh: Trojan Gendal.5510152

Tags :
  • Antivir
  • Sécurité
Dernière réponse : dans Sécurité et virus
10 Août 2011 09:36:18

Bonjour à tous,

Mon ordi ramait dernièrement et j'ai donc fais un scan ANTIVIR qui me détecte ce cheval de troie (mis en quarantaine)

Un hidjackthis sera nécessaire j'imagine pour en savoir plus ?

En attendant, je vous poste le rapport de mon antivirus:

Avira AntiVir Personal
Date de création du fichier de rapport : mardi 9 août 2011 18:56

La recherche porte sur 3337992 souches de virus.

Le programme fonctionne en version intégrale illimitée.
Les services en ligne sont disponibles.

Détenteur de la licence : Avira AntiVir Personal - Free Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 2) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : yyy
Nom de l'ordinateur : xxx

Informations de version :
BUILD.DAT : 10.0.0.139 31824 Bytes 20/07/2011 16:52:00
AVSCAN.EXE : 10.0.4.2 442024 Bytes 06/05/2011 14:48:33
AVSCAN.DLL : 10.0.3.0 56168 Bytes 17/08/2010 12:39:10
LUKE.DLL : 10.0.3.2 104296 Bytes 20/12/2010 19:12:46
LUKERES.DLL : 10.0.0.0 13672 Bytes 17/08/2010 12:39:11
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 18:21:42
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 19:12:38
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09/02/2011 08:15:59
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07/04/2011 17:51:30
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31/05/2011 11:43:15
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07/07/2011 18:45:23
VBASE006.VDF : 7.11.10.252 2048 Bytes 07/07/2011 18:45:24
VBASE007.VDF : 7.11.10.253 2048 Bytes 07/07/2011 18:45:24
VBASE008.VDF : 7.11.10.254 2048 Bytes 07/07/2011 18:45:24
VBASE009.VDF : 7.11.10.255 2048 Bytes 07/07/2011 18:45:24
VBASE010.VDF : 7.11.11.0 2048 Bytes 07/07/2011 18:45:24
VBASE011.VDF : 7.11.11.1 2048 Bytes 07/07/2011 18:45:25
VBASE012.VDF : 7.11.11.2 2048 Bytes 07/07/2011 18:45:25
VBASE013.VDF : 7.11.11.75 688128 Bytes 12/07/2011 18:45:42
VBASE014.VDF : 7.11.11.104 978944 Bytes 13/07/2011 18:46:10
VBASE015.VDF : 7.11.11.137 655360 Bytes 14/07/2011 15:34:40
VBASE016.VDF : 7.11.11.184 699392 Bytes 18/07/2011 17:06:56
VBASE017.VDF : 7.11.11.214 414208 Bytes 19/07/2011 06:34:10
VBASE018.VDF : 7.11.11.242 772096 Bytes 20/07/2011 06:34:12
VBASE019.VDF : 7.11.12.3 1291776 Bytes 20/07/2011 06:34:15
VBASE020.VDF : 7.11.12.30 844288 Bytes 21/07/2011 06:34:17
VBASE021.VDF : 7.11.12.67 149504 Bytes 24/07/2011 14:56:24
VBASE022.VDF : 7.11.12.93 195072 Bytes 25/07/2011 14:56:24
VBASE023.VDF : 7.11.12.113 150528 Bytes 26/07/2011 14:56:24
VBASE024.VDF : 7.11.12.152 182784 Bytes 28/07/2011 17:52:39
VBASE025.VDF : 7.11.12.181 117760 Bytes 01/08/2011 12:44:09
VBASE026.VDF : 7.11.12.205 148480 Bytes 03/08/2011 14:43:14
VBASE027.VDF : 7.11.12.229 252928 Bytes 05/08/2011 17:26:55
VBASE028.VDF : 7.11.12.230 2048 Bytes 05/08/2011 17:26:55
VBASE029.VDF : 7.11.12.231 2048 Bytes 05/08/2011 17:26:55
VBASE030.VDF : 7.11.12.232 2048 Bytes 05/08/2011 17:26:55
VBASE031.VDF : 7.11.12.233 2048 Bytes 05/08/2011 17:26:55
Version du moteur : 8.2.6.28
AEVDF.DLL : 8.1.2.1 106868 Bytes 31/07/2010 15:00:57
AESCRIPT.DLL : 8.1.3.74 1622393 Bytes 06/08/2011 17:27:01
AESCN.DLL : 8.1.7.2 127349 Bytes 22/11/2010 19:53:47
AESBX.DLL : 8.2.1.34 323957 Bytes 05/06/2011 11:43:22
AERDL.DLL : 8.1.9.13 639349 Bytes 17/07/2011 15:34:54
AEPACK.DLL : 8.2.9.5 676214 Bytes 17/07/2011 15:34:53
AEOFFICE.DLL : 8.1.2.13 201083 Bytes 31/07/2011 17:52:44
AEHEUR.DLL : 8.1.2.151 3584374 Bytes 06/08/2011 17:27:00
AEHELP.DLL : 8.1.17.7 254327 Bytes 31/07/2011 17:52:41
AEGEN.DLL : 8.1.5.7 401778 Bytes 06/08/2011 17:26:56
AEEMU.DLL : 8.1.3.0 393589 Bytes 22/11/2010 19:52:55
AECORE.DLL : 8.1.22.4 196983 Bytes 17/07/2011 15:34:43
AEBB.DLL : 8.1.1.0 53618 Bytes 24/04/2010 17:53:59
AVWINLL.DLL : 10.0.0.0 19304 Bytes 17/08/2010 12:38:56
AVPREF.DLL : 10.0.0.0 44904 Bytes 17/08/2010 12:38:55
AVREP.DLL : 10.0.0.10 174120 Bytes 17/05/2011 19:06:23
AVREG.DLL : 10.0.3.2 53096 Bytes 17/08/2010 12:38:56
AVSCPLR.DLL : 10.0.4.2 84840 Bytes 06/05/2011 14:48:33
AVARKT.DLL : 10.0.22.6 231784 Bytes 20/12/2010 19:12:45
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 17/08/2010 12:38:55
SQLITE3.DLL : 3.6.19.0 355688 Bytes 17/06/2010 14:28:02
AVSMTP.DLL : 10.0.0.17 63848 Bytes 17/08/2010 12:38:56
NETNT.DLL : 10.0.0.0 11624 Bytes 17/06/2010 14:28:01
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 11/02/2010 00:23:03
RCTEXT.DLL : 10.0.58.0 99688 Bytes 17/08/2010 12:39:11

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Sélection manuelle
Fichier de configuration......................: D:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\PROFILES\folder.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: D:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: arrêt
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Sélection de fichiers intelligente
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : mardi 9 août 2011 18:56

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'KAVPF.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RIMAutoUpdate.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avshadow.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Explorer.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD2
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '1748' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'D:\' <1_WinXP2>
D:\System Volume Information\_restore{8491EF14-D77B-4D94-A57A-6CCDDC01F878}\RP182\A0029308.exe
[RESULTAT] Contient le cheval de Troie TR/Gendal.5510152

Début de la désinfection :
D:\System Volume Information\_restore{8491EF14-D77B-4D94-A57A-6CCDDC01F878}\RP182\A0029308.exe
[RESULTAT] Contient le cheval de Troie TR/Gendal.5510152
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a8cd1c4.qua' !


Fin de la recherche : mardi 9 août 2011 19:57
Temps nécessaire: 57:17 Minute(s)

La recherche a été effectuée intégralement

8531 Les répertoires ont été contrôlés
575897 Des fichiers ont été contrôlés
1 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
1 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
0 Impossible de scanner des fichiers
575896 Fichiers non infectés
4496 Les archives ont été contrôlées
0 Avertissements
1 Consignes


Merci pour vos retours :hello: 

Autres pages sur : arggh trojan gendal 5510152

10 Août 2011 13:14:44

bonjour ton windows n'est pas à jour
ton antivirus est tres mal configuré
10 Août 2011 14:15:20

Bonjour Gen-hackman,

C'est noté pour la mise à jour; par contre je ne saisis pas pour la configuration de l'antivirus: qu'y a-t-il à configurer qui ne le serais pas ?

Merci...
10 Août 2011 15:11:10

Ok, je regarde ce soir ce qui est mal paramétré. Merci pour cette info.

Concernant mon Trojan, il y a qq chose à entreprendre ?
10 Août 2011 16:36:31

on peut deja faire un diag :

Télécharge ici : http://www.itxassociates.com/OT-Tools/OTL.exe OTL

enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur OTL.exe pour le lancer.

Coche les 2 cases Lop et Purity

Coche la case devant tous les utilisateurs

règle age du fichier sur "60 jours"

dans la moitié gauche , mets tout sur "tous"

ne modifie pas ceci :

"fichiers créés" et "fichiers Modifiés"


Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

Clique sur Parcourir et cherche le fichier ci-dessus.

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5f...

Copie ce lien dans ta réponse.

Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
10 Août 2011 20:00:16

Télécharge ici : http://www.teamxscript.org/adremoverTelechargement.html Ad-remover sur ton bureau :

Déconnecte toi et ferme toutes applications en cours !

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .

clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .

Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

Laisse travailler l'outil et ne touche à rien ...

Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
10 Août 2011 20:56:53


  • desactive ton antivirus
  • desactive Windows defender si présent
  • desactive ton pare-feu


    Télécharge ici : http://dl.dropbox.com/u/21363431/Pre_scan.exe Pre_Scan , puis enregistre-le sur ton bureau

    s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

    Avertissement: Il y aura une extinction courte du bureau --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

  • si l'outil detecte un proxy et que tu n'en as pas installé
    clique sur "supprimer le proxy"

  • si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

    Il se peut que l'outil soit un peu long sur la reattribution des fichiers tout depend combien tu en as , laisse-le travailler

  • Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan

    NE LE POSTE PAS SUR LE FORUM (il est trop long)

  • clique sur ce lien : http://www.cijoint.fr/

  • Clique sur Parcourir et cherche le fichier ci-dessus.

  • Clique sur Ouvrir.

  • Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5f...

    est ajouté dans la page.

  • Copie ce lien dans ta réponse.
    10 Août 2011 22:45:15

    repasse l'option nettoyer d'ad-remover en mode sans echec ?
    11 Août 2011 19:41:44

    Euh, alors là, je ne comprend pas: je n'arrive pas à acceder au mode sans echec ...?!!!!!!

    Ni F8, ni F5, ni après le bios, ni pendant, ni avant.......No comprendo...

    Ca peut venir de l'infection ?!
    11 Août 2011 23:47:23

    tu tapotes pas assez rapidement...ou trop doucement...
    12 Août 2011 16:10:01

    J'ai pourtant essayé plusieurs fréquences !!!!

    Bon, je vais retenter tout à l'heure...
    13 Août 2011 05:26:21

    pas mal.....comme ca si une clé du mode sans echec est corrompue ben ton pc il redemarre plus jamais.....
    13 Août 2011 07:50:48

    Bien....Un "malheur" n'arrivant jamais seul, je pars en congés dans 2 heures !

    J'éperais pouvoir me débarrasser de cette sal.. avant mais ça va être compliqué...

    Merci pour ton suivi GenHackman...A dans 3 semaines j'espère.
    Wille
    13 Août 2011 16:38:33

    ok pas de soucis fais remonter le sujet à ton retour :) 
    5 Septembre 2011 21:06:22

    Ca y'est !! Euh, bon le virus est toujours là mais j'ai enfin accedé au mode sans echec !!

    Avant tout, bonjour tous & Gen-hackman

    Depuis mon retour hier, j'ai à nouveau tout essayé pour le demarrage sans echec: sans résultat. Et j'ai eu l'idée (après avoir constaté que je n'accédais pas au Bios non plus ) de remettre mon ancien clavier (je l'ai changé il y a environ 5 semaines) et là miracle ça marche !

    Alors pourquoi ? Je verrai ça ultérieurement (note: mon nouveau clavier se branche en usb = logitech K120 et l'ancien tout pourri qui date des années 2000)

    Bref, le rapport ad-remover:
    http://www.cijoint.fr/cjlink.php?file=cj201109/cijcs10j...

    A bientôt
    7 Septembre 2011 02:25:44

    salut refais ZHPDiag stp
    7 Septembre 2011 14:03:33

    Hello,

    Bien, je n'ai encore pas fait de ZHPDiag; :??: 

    j'ai trouvé le "mode d'emploi" sur un autre sujet: c'est bien cela que je dois faire ou bien ton calvier a-t-il fourché et c'est à un autre logiciel que tu pensais (OTL ou Pre_scan) ? :) 

    --------------------------------------------------------------------------
    Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

    -> http://telechargement.zebulon.fr/zhpdiag.html

    !! déconnecte toi et ferme toutes tes applications en cours !!
    • Double-clique sur "ZHPDiag.exe" ( avec Vista/Seven faire clique droit / "exécuter en tant qu'admin..." ) pour lancer l'installation de l'outil et laisse toi guider. Ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" ( afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ).

    • A la fin de l'installe , laisse bien la case "exécuter ZHPDiag" cochée et clique sur "Terminé " > l'outil se lancera donc automatiquement .

    • Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite :

    Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 066 ( important ! ) .
    • Clique sur le bouton "calendrier" qui est en haut à droite : choisis 15 days

    • Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .

    > Laisses travailler l'outil ...
    ( Cela peut durer quelques minutes. Si ton antivirus donne des alertes durant le scan, ignore les et ne mets rien en quarantaine pour le moment ! )
    ---------------------------------------------------------------------------------------------

    13 Septembre 2011 18:31:52

    Oulà Up ?
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS