Votre question
Résolu

Bonjour, Infecté par win32 : malware-gen

Tags :
  • Malware
  • Streaming
  • Avast
  • Win32
  • PC
  • Asus
  • Sécurité
Dernière réponse : dans Sécurité et virus
13 Décembre 2014 12:18:54

J'ai attrapé un malware sur un site de streaming (oui je le confesse, ce n'est pas une pratique safe et recommandable, mais quand on aime le foot.... :) ), qui loge dans fichier Asus/Fancystart.

Avast 2015 / gratuit, me l'a placé en quarantaine. Depuis à chaque démarrage de mon Pc, Windows cherche à installer une mise à jour Fancystart, une question m'est alors posée : j'autorise ou non l'éditeur etc... Si je réponds non, ok je peux utiliser le Pc normalement. Si oui, Avast bloque un nouveau malware sur Fancystart.
J'ai lancé de nombreux scans avec Avast, Ccleaner, Adwcleaner et malawarebytes.

Ma configuration : Asus portable Intel Pentium (64bits), Windows 7 édition familiale premium, service pack 1.

Pourriez-vous me donner un coup de main ?
Merci par avance.

Ps : question subsidiaire, quelle attitude adopter avec les fichiers placés en quarantaine, essayer à tout prix de "nettoyer" son ordi, ou laisser son antivirus gérer ses petites affaires ?

Autres pages sur : bonjour infecte win32 malware gen

a c 612 8 Sécurité
a b Ĉ Asus
13 Décembre 2014 21:55:33

Bonjour,

Citation :
Ps : question subsidiaire, quelle attitude adopter avec les fichiers placés en quarantaine, essayer à tout prix de "nettoyer" son ordi, ou laisser son antivirus gérer ses petites affaires ?


Le mieux serait de ne jamais avoir à se poser la question ;) 
Donc éviter les comportements à risque.

Il est généralement trop tard une fois l'infection détectée par un antivirus ...

à faire pour un premier diagnostic :

Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.

Attention: Tu dois lancer la version compatible avec ton système : 32 ou 64bits.

Clique ici pour la version 32 bits
Clique ici pour la version 64 bits


Info : comment savoir quelle version j'utilise ?

Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

  • Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Yes pour accepter le disclamer.
  • Clique sur le bouton Scan.
  • L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
  • A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt).


  • Poste les deux rapports générés.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici

    m
    0
    l
    13 Décembre 2014 23:59:52

    ok, merci pour votre aide, j'ai suivi la procédure "rapport en ligne", j'espère avoir correctement réalisé la chose.
    m
    0
    l
    Contenus similaires
    a c 612 8 Sécurité
    a b Ĉ Asus
    14 Décembre 2014 09:05:28

    Re,

    à priori je dirais non ... puisque tu ne m'as pas posté les liens obtenu une fois les rapports hébergés ... :D 
    m
    0
    l
    a c 612 8 Sécurité
    a b Ĉ Asus
    14 Décembre 2014 16:19:44

    Re,

    Nous sommes tous bénévoles ici, alors au contraire, c'est même le week-end que nous sommes un peu plus présent ;) 

    à suivre pour le ménage :

    1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

    Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

    - Google Toolbar for Internet Explorer (barre d'outil, sauf réel intérêt)

    ~~~~~~~~~~~~~~~~~~~~~~~~~~

    2) /!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images /!\

    • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
    • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

      start
      CloseProcesses:
      EmptyTemp:
      Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\FancyStart daemon.lnk
      C:\Windows\Installer\{2B81872B-A054-48DA-BE3B-FA5C164C303A}\_C4A2FC3E3722966204FDD8.exe
      CHR StartupUrls: Default -> "hxxp://astromenda.com/?f=7&a=ast_tele_14_40_ie&cd=2XzuyEtN2Y1L1QzuyBzzzytBzy0CtAzytD0E0DtA0E0B0D0DtN0D0Tzu0StCtDtDtAtN1L2XzutAtFtBtFtCtFyDtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyB0CyCtDyEyEtDyEtG0B0AtA0FtGtAtDyC0EtG0D0FzytDtGtC0FtA0EtAyD0B0ByBtAzz0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2StByByCyD0A0FtBzztGtDtAyE0AtGyEyE0DyDtG0A0CyE0CtGtDyByE0BtC0EtD0Czy0E0CyC2Q&cr=79257990&ir="
      BHO-x32: IEExtension.VDownloaderBHO -> {7b523e7c-f096-4e36-a0cb-7efeb5c675c1} -> C:\Windows\SysWOW64\mscoree.dll (Microsoft Corporation)
      FF Plugin HKU\S-1-5-21-993109847-1276170555-421808623-1001: vitzo.com/VDownloader -> C:\Program Files (x86)\VDownloader\Addons\npVDownloader.dll No File
      FF HKLM-x32\...\Firefox\Extensions: [support@vdownloader.com] - C:\Program Files (x86)\VDownloader\Addons\FireFox
      CHR Plugin: (VDownloader) - C:\Program Files (x86)\VDownloader\Addons\npVDownloader.dll No File
      CHR HKLM-x32\...\Chrome\Extension: [eoccbpoodnckjdnackiffhjfkogfhnhh] - C:\Program Files (x86)\VDownloader\Addons\Chrome.crx [Not Found]
      AlternateDataStreams: C:\ProgramData\Temp:32ED0002
      AlternateDataStreams: C:\ProgramData\Temp:3E7393FC
      AlternateDataStreams: C:\ProgramData\Temp:52DBE86F
      AlternateDataStreams: C:\ProgramData\Temp:8AB6C1D7
      AlternateDataStreams: C:\ProgramData\Temp:981884E7
      AlternateDataStreams: C:\ProgramData\Temp:FF8F1AE3
      end


    • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur FRST.exe
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction

    • Le pc va demander à redémarrer, accepte.
    • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
    m
    0
    l
    14 Décembre 2014 17:18:47

    Salut Hyunkel30.
    En tout cas, bravo pour votre aide, j'imagine que ça vous plait, c'est plutôt "challengeant" comme hobby du we! :) 
    Je ne peux que louer l'attitude altruiste de vos initiatives.

    Pour en revenir à nos moutons, je t'écris depuis un autre Pc, puisque le mien aurait du redémarrer après l’étape Fix sur FRST, mais il n'a rien fait de cela. A mon écran, FRST est encore ouvert et la touche Scan est "cliquable"
    Je pense que cela vient (encore 1 fois), de moi puisque j'ai cru bon de cocher la cache Addition.txt (comme sur la photo de ton post précédent)... Faut il que je clique sur "Scan" ou que je ferme tout ça et redémarrer mon Pc?
    Nb : FRST m'a bien demandé si je voulais redémarrer, ce à quoi j'ai répondu Yes.

    J'attends tes instructions pour le redémarrage.
    Merci, a+
    m
    0
    l
    a c 612 8 Sécurité
    a b Ĉ Asus
    14 Décembre 2014 17:29:58

    Re,

    Non, il aurait dû traiter le script très rapidement.

    S'il ne répond plus ou semble ne plus avancer, redémarre le pc, puis regarde si tu trouves le rapport fixlog.txt : il devrait être à côté de FRST.exe
    m
    0
    l
    14 Décembre 2014 17:35:16

    ok, FRST ne répondait plus, j'ai demandé le redémarrage, et windows me dit encore 1 programme à fermer " (en attente) explorer.exe) lecture du son de fermeture de session..., Je force le redémarrage ?
    m
    0
    l
    a c 612 8 Sécurité
    a b Ĉ Asus
    14 Décembre 2014 18:00:18

    Re,

    Oui, et au besoin, tu forces l'arrêt en maintenant 5 seconde ton bouton d'alimentation

    Tu auras probablement une erreur au redémarrage qui indiquera un arrêt non voulu, mais c'est normal.
    m
    0
    l
    14 Décembre 2014 18:21:24

    Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 14-12-2014
    Ran by Ludovic at 2014-12-14 16:48:09 Run:1
    Running from C:\Users\Ludovic\Desktop
    Loaded Profiles: UpdatusUser & Ludovic (Available profiles: UpdatusUser & Ludovic)
    Boot Mode: Normal
    ==============================================

    Content of fixlist:
    *****************
    start

    CloseProcesses:

    EmptyTemp:

    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\FancyStart daemon.lnk

    C:\Windows\Installer\{2B81872B-A054-48DA-BE3B-FA5C164C303A}\_C4A2FC3E3722966204FDD8.exe

    CHR StartupUrls: Default -> "hxxp://astromenda.com/?f=7&a=ast_tele_14_40_ie&cd=2XzuyEtN2Y1L1QzuyBzzzytBzy0CtAzytD0E0DtA0E0B0D0DtN0D0Tzu0StCtDtDtAtN1L2XzutAtFtBtFtCtFyDtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyB0CyCtDyEyEtDyEtG0B0AtA0FtGtAtDyC0EtG0D0FzytDtGtC0FtA0EtAyD0B0ByBtAzz0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2StByByCyD0A0FtBzztGtDtAyE0AtGyEyE0DyDtG0A0CyE0CtGtDyByE0BtC0EtD0Czy0E0CyC2Q&cr=79257990&ir="

    BHO-x32: IEExtension.VDownloaderBHO -> {7b523e7c-f096-4e36-a0cb-7efeb5c675c1} -> C:\Windows\SysWOW64\mscoree.dll (Microsoft Corporation)

    FF Plugin HKU\S-1-5-21-993109847-1276170555-421808623-1001: vitzo.com/VDownloader -> C:\Program Files (x86)\VDownloader\Addons\npVDownloader.dll No File

    FF HKLM-x32\...\Firefox\Extensions: [support@vdownloader.com] - C:\Program Files (x86)\VDownloader\Addons\FireFox

    CHR Plugin: (VDownloader) - C:\Program Files (x86)\VDownloader\Addons\npVDownloader.dll No File

    CHR HKLM-x32\...\Chrome\Extension: [eoccbpoodnckjdnackiffhjfkogfhnhh] - C:\Program Files (x86)\VDownloader\Addons\Chrome.crx [Not Found]

    AlternateDataStreams: C:\ProgramData\Temp:32ED0002

    AlternateDataStreams: C:\ProgramData\Temp:3E7393FC

    AlternateDataStreams: C:\ProgramData\Temp:52DBE86F

    AlternateDataStreams: C:\ProgramData\Temp:8AB6C1D7

    AlternateDataStreams: C:\ProgramData\Temp:981884E7

    AlternateDataStreams: C:\ProgramData\Temp:FF8F1AE3

    end
    *****************

    Processes closed successfully.
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\FancyStart daemon.lnk => Moved successfully.
    C:\Windows\Installer\{2B81872B-A054-48DA-BE3B-FA5C164C303A}\_C4A2FC3E3722966204FDD8.exe => Moved successfully.
    Chrome StartupUrls deleted successfully.
    "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7b523e7c-f096-4e36-a0cb-7efeb5c675c1}" => Key deleted successfully.
    "HKCR\Wow6432Node\CLSID\{7b523e7c-f096-4e36-a0cb-7efeb5c675c1}" => Key deleted successfully.
    "HKU\S-1-5-21-993109847-1276170555-421808623-1001\Software\MozillaPlugins\vitzo.com/VDownloader" => Key deleted successfully.
    C:\Program Files (x86)\VDownloader\Addons\npVDownloader.dll not found.
    HKLM\Software\Wow6432Node\Mozilla\Firefox\Extensions\\support@vdownloader.com => value deleted successfully.
    C:\Program Files (x86)\VDownloader\Addons\npVDownloader.dll not found.
    "HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\eoccbpoodnckjdnackiffhjfkogfhnhh" => Key deleted successfully.
    C:\ProgramData\Temp => ":32ED0002" ADS removed successfully.
    C:\ProgramData\Temp => ":3E7393FC" ADS removed successfully.
    C:\ProgramData\Temp => ":52DBE86F" ADS removed successfully.
    C:\ProgramData\Temp => ":8AB6C1D7" ADS removed successfully.
    C:\ProgramData\Temp => ":981884E7" ADS removed successfully.
    C:\ProgramData\Temp => ":FF8F1AE3" ADS removed successfully.
    EmptyTemp: => Removed 134.7 MB temporary data.


    The system needed a reboot.

    ==== End of Fixlog ====
    m
    0
    l
    a c 612 8 Sécurité
    a b Ĉ Asus
    14 Décembre 2014 18:38:44

    Re,

    Le fix semble s'est néanmoins correctement déroulé.

    As-tu encore le message d'alerte d'avast! ou de demande de Fancystart ?
    m
    0
    l
    14 Décembre 2014 18:42:04

    Non, en effet, ouverture sans aucun pb!
    m
    0
    l

    Meilleure solution

    a c 612 8 Sécurité
    a b Ĉ Asus
    14 Décembre 2014 18:58:52

    Re,

    Ok, pour conclure alors :

    Télécharge DelFix (de Xplode) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur DelFix.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Ne touche pas aux options cochées
  • Clique sur le bouton "Exécuter"
  • Laisse travailler l'outil.
  • Le rapport est enregistré dans à la base de ton disque dur, (C:\DelFix.txt généralement) merci de copier-coller son contenu dans ta prochaine réponse.


    ###########

    à désinstaller si tu n'utilises plus le navigateur Firefox
    - Adobe Flash Player 10 Plugin

    ~~~~~~~~~~~~~~~~

    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire ! et à lire

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : Ghostery ou Scriptsafe ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux utiliser un outil comme SXCU pour vérifier occasionnellement les mises à jour disponibles pour les principaux logiciels/plugins.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !

    Tu peux indiquer ton sujet "réglé" en validant avec "Sélectionner comme meilleure solution" (en bas à gauche de ce message), ton sujet sera alors automatiquement marqué comme "résolu"

    A bientôt sur les forums Tom's Guide
    :jap: 
    partage
    14 Décembre 2014 19:08:28

    # DelFix v10.8 - Rapport créé le 14/12/2014 à 19:05:47
    # Mis à jour le 29/07/2014 par Xplode
    # Nom d'utilisateur : Ludovic - LUDOVIC-PC
    # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)

    ~ Suppression des outils de désinfection ...

    Supprimé : C:\FRST
    Supprimé : C:\AdwCleaner
    Supprimé : C:\Users\Ludovic\Desktop\FRST-OlderVersion
    Supprimé : C:\Users\Ludovic\Desktop\Addition.txt
    Supprimé : C:\Users\Ludovic\Desktop\AdwCleaner-4.1.0.5.exe
    Supprimé : C:\Users\Ludovic\Desktop\Fixlog.txt
    Supprimé : C:\Users\Ludovic\Desktop\FRST.txt
    Supprimé : C:\Users\Ludovic\Desktop\FRST64.exe
    Supprimée : HKLM\SOFTWARE\AdwCleaner

    ########## - EOF - ##########
    m
    0
    l
    14 Décembre 2014 19:14:02

    Ok je prends note de tous tes conseils. Je vais de ce pas changer de navigateur. Il me semble qu'il ne faut pas essayer de désinstaller IE (?)
    Je te remercie pour ton aide précieuse et ta réactivité.
    Bonne continuation!
    A bientôt
    m
    0
    l
    14 Décembre 2014 19:40:29

    Merci Chantal11 d'avoir "sélectionné cette solution comme meilleure réponse", j'étais sur la lecture des conseils :) 
    m
    0
    l
    a c 612 8 Sécurité
    a b Ĉ Asus
    14 Décembre 2014 19:52:29

    Re,

    IE tu peux le laisser oui, et le maintenir à jour ou l'utiliser, simplement, on évite sur des sites non "sûr" ;) 
    m
    0
    l
    16 Décembre 2014 19:33:04

    Salut,

    J'ai voulu suivre tes conseils et Réinstaller Google chrome au détriment de IE.
    Je dis réinstaller car je l'avais jusqu'à il y a quelques jours. Je l'avais désinstaller suite à mon pb de malware (astromedia notamment que je n'arrivai pas à dézinguer, enfin l'url de départ).
    En tentant de réinstaller GC (sur le site de l'éditeur), j'ai un message qui me dit : "l'application n'a pas pu démarrer car sa config cote-a-cote est incorrecte. Pour + d'infos, consultez le journal d'évènements d'application ou utilisez l'outil de ligne de commande sxstrace.exe"

    J'ai tenté de suivre une procédure sur Google groups, sans succès.

    Pourriez-vous me donner un coup de main ?
    Merci.
    Ps : non urgent
    m
    0
    l
    a c 612 8 Sécurité
    a b Ĉ Asus
    16 Décembre 2014 20:08:26

    Re,

    Généralement ce type d'erreur est dû à un fichier d'installation corrompu (erreur au téléchargement)

    Est-ce que tu as tenté de télécharger de nouveau l'installateur pour voir ?
    https://www.google.fr/chrome/browser/desktop/
    m
    0
    l
    16 Décembre 2014 21:13:15

    Re,

    En fait, petite précision.
    Depuis https://www.google.fr/chrome/browser/desktop/ , j'ai une fenêtre https:D l;google/update qui s'ouvre, puis on me remercie d'avoir téléchargé Google chrome. Mais rien ne se passe ou n'apparait dans mes fichiers.

    Le coup du "cote à cote" est lorsque je double clic sur un GC.exe que j'ai importé depuis un autre Pc avec usb.

    Dans démarrer, recherche, si je tape Google, j'ai un fichier application GC dans program files (x86)...

    m
    0
    l
    a c 612 8 Sécurité
    a b Ĉ Asus
    17 Décembre 2014 14:41:51

    Re,

    Tu télécharge avec quel navigateur là ?
    Firefox ou Internet Explorer ?

    Tu as regardé dans "Download"/Téléchargement" ? dans ton dossier de Documents
    m
    0
    l
    17 Décembre 2014 17:26:53

    Re,

    Avec IE.
    Je n'ai rien dans download/téléchargement.

    Info en + : en fait sur site Google, lorsque je clique sur lien pour télécharger le navigateur, je n'ai pas la question Windows habituelle : exécuter, enregistrer... et la barre "afficher les téléchargements" n'apparait pas non plus.
    m
    0
    l
    17 Décembre 2014 19:43:26

    Hello
    oui, je peux le télécharger, tu veux que je finalise l'installation de Firefox, ou tu voulais juste savoir si c'était possible?
    m
    0
    l
    a c 612 8 Sécurité
    a b Ĉ Asus
    17 Décembre 2014 19:52:42

    Re,

    Tu finalises, puis tu l'utilises pour télécharger Chrome pour voir si ça marche
    m
    0
    l
    17 Décembre 2014 20:13:19

    Bingo, ca a fonctionné, je veux pas chercher à comprendre... :) 
    Par contre autant au moment de l'install de Mozilla il te propose d'importer tes favoris d'IE, autant avec chrome pas de question, Est-ce possible malgré tout?
    Je te remercie une nouvelle fois!
    m
    0
    l
    18 Décembre 2014 00:14:05

    ok, j'ai trouvé pour importer favoris.
    On peut clore mon dossier!
    :) 
    Au plaisir!
    m
    0
    l
    a c 612 8 Sécurité
    a b Ĉ Asus
    18 Décembre 2014 19:38:13

    Re,

    Tout est ok, alors tant mieux ;) 

    Tu peux toujours conserver Firefox, ça peut servir ;) 

    @ bientôt sur Tom's Guide
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS