Se connecter / S'enregistrer
Votre question

[résolu] TR/Downloader.Gen

Tags :
  • Antivir
  • Sécurité
Dernière réponse : dans Sécurité et virus
29 Juin 2010 07:51:13

Bonjour à tous,

Depuis quelques temps "Avira Antivir" detecte l'activité du virus:
TR/Downloader.Gen.
J'ai fait un scan complet avec "Antivir" mais pas de virus mis en
évidence. Par contre le virus se manifeste toujours.

Il créé dans "C:\WINDOWS\Temp\" une multitude de dossiers vides
dont le nom à la forme suivante: 4 caractères alphabétiques + l'extension
".tmp" ainsi que le fichier "WGAErrLog.txt".

Par ailleurs, tout une série de dossiers résultant des mises à jour windows
vient de disparaître aujourd'hui. (dans C:\WINDOWS\")

"Antivir" signale son action de cette manière:

Citation :
C:\WINDOWS\Temp\cjhp.tmp\svchost.exe
Contient le cheval de Troie TR/Downloader.Gen


où "cjhp.tmp" est l'un de ces dossiers générés automatiquement.

merci de me donner un coup de main pour en venir à bout.

Autres pages sur : resolu downloader gen

29 Juin 2010 14:37:54

Yop! Tu dois avoir un rootkit, on va nettoyer ça!

/!\ Pour le bon déroulement de la désinfection:
  • N'ouvre pas le même sujet sur des forums différents, c'est une perte de temps pour tout le monde!
  • Évites les manipulations hasardeuses avec ton PC, mieux vaut demander!
  • Prends le temps de lire corectement et de comprendre l'ensemble des procédures qui te seront demandées.
  • Suis à la lettre chaque procédure qui te sera fournie.
  • Si tu as une quelconque question ou un quelconque problème, n'hésite pas à me demander.
  • Dans un souci de lisibilité du sujet, merci de bien vouloir héberger tous les rapports ici, et de poster les liens dans la discussion. :clin: 

    ***

  • Désactive l'antivirus.

    Télécharger et enregistrer sur le bureau « Combofix »

  • Double-clic sur Combofix.
  • Si invitation à télécharger et installer la console de récupération, l'accepter.
  • La recherche va ensuite se lancer,
  • Attendre la fermeture de l’outil ( 5 à 10 mn),
  • Un rapport dans C:\Combofix.txt: héberge le et donne le lien.
    29 Juin 2010 21:01:34

    Bonjour et merci de te pencher sur mon problème.

    voilà l'adresse où est déposé le rapport combofix

    http://cjoint.com/?gDu4lzWpKm

    Combofix a redémarrer plusieurs fois l'ordi et un lancement auto
    de snagit et antivir m'a échappé.

    J'espère que celà n'a pas créé d'interférence...
    Contenus similaires
    29 Juin 2010 21:56:30

    Fallait installé la console de récupération par contre! :o 
    Il va sûrement de te proposer de l'installer quand tu vas exécuter la manip ci dessous, donc fait le. Car si ça plante, bah ça va être coton d'arranger les choses. ;) 

  • Mettre combofix sur le bureau
  • Copier ce texte:

    driver::
    mchInjDrv
    file::
    c:\docume~1\kiwi\LOCALS~1\Temp\mc27.tmp


  • Ouvrir le Bloc-Notes,
  • Clic-droit ==> coller.
  • Faire ==> fichier ==> enregistrer sous ==> choisir Bureau.
  • Le nommer CFScript.txt
  • Fermer le bloc-note.
  • Prendre le fichier CFScript.txt qui est sur le bureau par un clic gauche maintenue,
  • L'amener sur l'icône de Combofix et relacher le clic.
  • Combofix se relance seul.
  • Héberger le rapport et donner le lien.

    ***

    Ensuite:

    Télécharge -> http://www.gmer.net/mbr/mbr.exe

    Double-cliquez sur mbr.exe.. une fenêtre noire va s'ouvrir et se refermer.
    Un rapport sera généré mbr.log, copie et colle son contenue ici.
    29 Juin 2010 22:59:49

    Ha, j'ai oublié de dire : j'ai un dual boot XP | Ubuntu et combofix a signalé que

    le secteur de boot lui semblait incompréhensible ou difficile à lire.

    Est-ce que mbr.exe agit sur le MBR proprement-dit ?

    29 Juin 2010 23:03:20

    Yop! Là non, il va juste se charger de générer un rapport, aucune modification, rien.
    Donc aucun souci à se faire sur le dual boot. ;) 

    Il s'agit de vérifier si il y a ou non une infection dans le mbr. (un scan tout bête en gros)
    30 Juin 2010 07:52:49

    re, voilà le lien pour la nouvelle analyse à partir de CFScript.txt:

    http://cjoint.com/?gEhUDFVoGW

    et voilà ce que donne mbr.exe:

    Citation :
    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK


    30 Juin 2010 11:56:19

    C'est ok, pas d'infection MBR. ;) 

    ***

    J'ai vu que tu as MBAM, tu peux le mettre à jour et faire un scan complet avec?
    30 Juin 2010 20:11:38

    d'accord je le fais maintenant
    30 Juin 2010 20:24:32

    voilà le résultat de l'analyse:

    Citation :
    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4261

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    30/06/2010 20:18:54
    mbam-log-2010-06-30 (20-18-54).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 146142
    Temps écoulé: 6 minute(s), 11 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    30 Juin 2010 21:03:12

    Ok, fais un scan OTL:

    Télécharge OTL(de OldTimer) sur ton Bureau.
  • Double-clique sur OTL pour le lancer.
  • (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche Rapport minimal.
  • Coche également les cases à côté de Recherche Lop et Recherche Purity.
  • Enfin, clique sur le bouton Analyse. Le scan ne prendra pas beaucoup de temps.
  • Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau).
  • Héberge les rapports, puis donne leurs liens.
    30 Juin 2010 21:33:18

    j'ai fais un deuxième scan avec OTL et toujours pas de Extras.txt.

    que se passe-t'il ?

    30 Juin 2010 22:17:43

    Je peux signaler que depuis quelques heures je n'ai plus d'alertes d'Antivir et

    plus de génération de dossiers dans C:\windows\temp

    ça semble en bonne voie sinon réglé ?

    Je vais m'arrêter pour ce soir,

    à plus tard et merci pour ton aide
    1 Juillet 2010 11:39:53

    C'est normal, extras.txt n'apparait qu'au premier scan! ;) 
    Pour moi il n'y a plus d'infection! Si tout est ok:

    1/ Pour supprimer les utilitaires téléchargés:

  • Télécharge ToolsCleaner2 sur ton bureau
  • Double-clique sur Toolscleaner.exe,
  • Clique sur restauration pour créer un point de restauration.
  • Puis clique sur recherche.
  • Quand la recherche sera terminée, clique sur suppression.
  • A la fin (il y aura des indications dans le cadre en-dessous), clique sur quitter et poste le rapport qui se trouve dans C:\Tcleaner.txt.
  • Clique droit sur son icône => supprimer.


    2/ Pour supprimer les fichiers temporaires (à utiliser régulièrement!):

    Télécharge sur le bureau « CCleaner »
  • Installe le en refusant la Yahoo! Toolbar,
  • Puis lance le.
  • Va dans Options, puis Avancé et décoche la case Effacer uniquement les fichiers etc...
  • Retourne dans Nettoyeur, puis choisis Analyse.
  • Une fois cette dernière terminée, clique sur Nettoyer

    -----

    3/ Désactiver et réactiver la restauration système:

    - sous xp:

  • Clique-Droit sur Poste de Travail
  • Clique Propriétés,
  • Clique Restauration du système.
  • Cocher : Désactiver la restauration système sur tous les lecteurs,
  • Valider en cliquant sur OK.
  • Redémarrer le pc.
  • Et même manoeuvre en décochant pour rétablir la restauration.
  • Puis Menu Démarrer ==> Tous les programmes ==> Accessoires ==> Outils système ==> Restauration système,
  • Clique Créer un nouveau point de restauration.
  • note => le nom donné n’a aucune importance.

    - sous vista:

  • Clique sur Démarrer,
  • Clique-droit sur Ordinateur,
  • Clique Propriétés,
  • Clique Protection du système.
  • Décocher : C,
  • Valider en cliquant sur OK.
  • Redémarrer le pc.
  • Et même manoeuvre en recochant pour rétablir la restauration.
  • Puis de même et cliquer créer pour établir un nouveau point de restauration.

    - sous seven:

  • Clique sur Démarrer,
  • Clique-droit sur Ordinateur,
  • Clique Propriétés,
  • Clique Protection du système,
  • Clique sur l'onglet Protection du système.
  • Sélectionne : C,
  • Clique Configurer...,
  • Coche : Désactiver la protection du système.
  • Valider en cliquant sur OK.
  • Redémarrer le pc.
  • Et même manoeuvre en recochant : Restaurer les paramètres système et les versions précédentes des fichiers pour rétablir la restauration.
  • Puis de même et cliquer créer pour établir un nouveau point de restauration.

    -----

    4/Anti-spyware/malware

  • Garder malwarebytes' et penser à faire des scans réguliers avec ce dernier! => Tuto malwarebytes'
  • Antispyware gratuit : ça sert à rien!

    -----

    5/Protection

  • Un dossier sur les infections.
  • Sécuriser son ordinateur (version courte).
  • Surfer sécurisé.
  • Les idées reçues en sécurité logicielle.

    -----

    6/ Problème résolu?

    Alors penser à mettre le sujet en résolu en éditant ton titre!
  • Clique sur le bouton Éditer dans ton premier message (en bas à droite du message).
  • Ajoute [Résolu] devant le titre.
  • Clique ensuite sur Valider votre message :clin: 
    1 Juillet 2010 12:10:51

    Bonjour,

    Tout semble effectivement rentré dans l'ordre.

    Au passage, google chrome qui plantait systématiquement au démarrage
    fonctionne de nouveau.

    Un très grand merci pour ton aide et ta disponibilité.
    2 Juillet 2010 09:46:02

    Bonjour,

    J'ai fait agir ToolsCleaner2.exe. Il a signalé une certaine quantité de fichiers à supprimer.

    J'ai continué comme tu l'a indiqué et les fichiers marqués ont été supprimés mais

    pas de fichier résultant "ToolsCleaner.txt" ?

    Ceci-dit le système est stable et de plus j'avais des fenêtres intempestives de pub sous

    FireFox qui ont elles aussi disparues....

    Donc deux problèmes réglés en même temps.

    L'un découlant probablement de l'autre.

    Encore merci pour la qualité de ton intervention.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS