Comment supprimer heur trojan script generic [Résolu/Fermé]

Signaler
Messages postés
11
Date d'inscription
mardi 15 juillet 2008
Statut
Membre
Dernière intervention
30 mars 2013
-
 Utilisateur anonyme -
Bonjour,


Kapersky 2011 mis à jour m'a détecté le cheval de troie HEUR trojan script generic.
Apparemment, il l'a détecté le 28.02, mais je ne m'en suis même pas aperçue tout de suite !
En ayant de + en + de bugs lors des navigations sur IE, des coupures, et hier en recevant un mail sur ma boite Yahoo d'un copain qui serait en Afrique et aurait besoin d'argent.... Je me suis dit que j'avais dû me faire pirater mes contacts et d'autres choses encore...
J'ai été chercher sur les forums, mais j'y comprends vraiment pas grand chose. Je suis juste utilisatrice de mails, d'Office... mais ne connais rien à ce qui se passe derrière.
Impossible de le mettre en quarantaine ou de le supprimer : Kapersky ne le propose pas quand on clique dessus. Juste exporter qui n'aboutit à rien !
J'avais envie de faire une restauration de point de sauvegarde ?
Un Hijackthis avec votre aide ?
MBAM (à jour) ne détecte rien. CCleaner ne supprime rien.
Quels seraient vos conseils ?
J'ai aussi assez peur de m'être fait pirater mon n° CB car je l'ai saisi dans l'intervalle...
Je suis sous windows XP (je crois), IE 8 ou 9
Merci d'avance infiiiiiniment pour votre aide

14 réponses


Bonsoir



Pour de plus amples informations, fait ceci stp

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/download/telecharger-34066799-zhpdiag

Serveur N°2

Ou

http://www.premiumorange.com/zeb-help-process/zhpdiag.html
en bas de la page ZHP avec un numéro de version.

Une fois le téléchargement achevé,

Double-clique sur l'icône pour lancer le programme. Sous Vista ; Seven ou Windows 8 clic droit « exécuter en tant que administrateur »


Clique sur la loupe avec le signe + pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur ce lien:
http://pjjoint.malekal.com/

Si problème utilise un des suivants

https://forums-fec.be/upload
https://www.cjoint.com/


Regarde sur le bureau

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.com/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Merci

@+

Messages postés
11
Date d'inscription
mardi 15 juillet 2008
Statut
Membre
Dernière intervention
30 mars 2013
1
Merci Guillaume pour ton aide ultra rapide.
J'ai tout réussi, merci d'avoir bien détaillé les étapes.
Voici le lien :
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130329_k13b6e5f9t5
A bientot (mais tu peux dormir aussi !)
Re

On attaque:

1) Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Lorsque le message indiquant qu'AdwCleaner a détecté une variante spécifique d'adware s'affiche, clique sur [OK]
- L'ordinateur va redémarrer tout seul. Redémarre-le en mode normal.
- AdwCleaner s'ouvrira normalement, avec comme seul choix possible [Suppression]
- Clique dessus, puis patiente pendant la suppression.
- Une fois la suppression effectuée, AdwCleaner t'invitera à redémarrer l'ordinateur
- Au redémarrage, un rapport s'ouvrira. Poste le sur le forum.


Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

A lire :
Les toolbars, c'est pas obligatoire ( par Malekal ) :https://forum.malekal.com/viewtopic.php?t=6173&start=
Les programmes potentiellement indésirables :
https://forum.malekal.com/viewtopic.php?t=33776&start=


2)Tu disposes de Malwaresbytes;met le à jour et lance une analyse rapide.
Supprime bien tout ce qu'il trouve

@+

--------Contributeur Sécurité---------
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.
Messages postés
11
Date d'inscription
mardi 15 juillet 2008
Statut
Membre
Dernière intervention
30 mars 2013
1
Voici le rapport
La, j'admire, je sais pas comment tu fais pour decrypter !
Merci

# AdwCleaner v2.115 - Rapport créé le 29/03/2013 à 00:28:10
# Mis à jour le 17/03/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Laurence - LAURENCE-TOSH
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Laurence\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DSXWWUFA\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\ProgramData\Partner

***** [Registre] *****

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EF99BD32-C1FB-11D2-892F-0090271D4F88}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EF99BD32-C1FB-11D2-892F-0090271D4F88}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{EF99BD32-C1FB-11D2-892F-0090271D4F88}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Clé Supprimée : HKLM\SOFTWARE\Software
Valeur Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{EF99BD32-C1FB-11D2-892F-0090271D4F88}]

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16464

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Google Chrome v25.0.1364.172

Fichier : C:\Users\Laurence\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [2090 octets] - [29/03/2013 00:28:10]

########## EOF - C:\AdwCleaner[S1].txt - [2150 octets] ##########
Messages postés
11
Date d'inscription
mardi 15 juillet 2008
Statut
Membre
Dernière intervention
30 mars 2013
1
Bonjour

J'ai fait un nouveau scan avec Kapersky, et le trojan est toujours là apparemment.
Il y est toujours dans menaces détectées, niveau critique élevé...
Pas de fichier, mais juste le site web d'où il vient. J'ai prévenu les gens du site en question.
Pour info, je suis en RV de 8 à 12h, je reprends les manips après.
Merci encore, Guillaume, de continuer à m'aider si tu as des idées

Bonjour

J'attends un rapport Malwaresbytes comme demandé dans mon précédent post

@+
Messages postés
11
Date d'inscription
mardi 15 juillet 2008
Statut
Membre
Dernière intervention
30 mars 2013
1
Bonjour Guillaume
OK, j'avais pas compris que tu voulais le rapport MBAM :
Il a l'air ok, et il était aussi ok avant nos manips.
Désolée, j'étais pas dispo ce soir. Merci toujours...

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.03.29.14

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Laurence :: LAURENCE-TOSH [administrateur]

29/03/2013 23:19:47
mbam-log-2013-03-29 (23-19-47).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 206989
Temps écoulé: 51 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

Re

Poste moi un nouveau rapport ZHPDiag

Merci


@+
Messages postés
11
Date d'inscription
mardi 15 juillet 2008
Statut
Membre
Dernière intervention
30 mars 2013
1
Bonjour Guillaume
Voici le rapport ZHPdiag sur le lien :
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130330_f14d14y9x5x11
C'est tout bon ?
Merci - a bientot

Bonjour

Utilisation de l'outil ZHPFix :

* Copie tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
-------------------------------------------------------------------------------------------------


O23 - Service: McAfee Application Installer Cleanup (02 (0201061345322926mcinstcleanup) . (...) - C:\Users\Laurence\AppData\Local\Temp\020106~1.exe (.not file.)
SS - | Auto 0 | (0201061345322926mcinstcleanup) . (...) - C:\Users\Laurence\AppData\Local\Temp\020106~1.exe
[HKLM\Software\Wow6432Node\WiseConvert_1.5]
O43 - CFD: 27/10/2012 - 19:29:54 - [0] ----D C:\Program Files (x86)\WiseConvert_1.5
O45 - LFCP:[MD5.8A53C2224B4CBFF1407AD2730B6A0C34] - 28/03/2013 - 21:37:50 ---A- - C:\Windows\Prefetch\YTBB.EXE-D6C70F17.pf
[HKLM\Software\Wow6432Node\WiseConvert_1.5]
[HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
[HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
O42 - Logiciel: Java 6 Update 20 - (.Sun Microsystems, Inc..) [HKLM][64Bits] -- {26A24AE4-039D-4CA4-87B4-2F83216020FF}

FirewallRAZ
Emptytemp
EmptyCLSID


--------------------------------------------------------------------------------------------
* Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en tant qu'administrateur)

* Clique sur l'icone représentant le presse-papier ("coller le presse-papier")
le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le (Ctrl+v)
* Clique sur le bouton GO pour lancer le nettoyage
* Copie/colle la totalité du rapport dans ta prochaine réponse.

-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le !

Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ ZHPFixReport.txt )



@+
Messages postés
11
Date d'inscription
mardi 15 juillet 2008
Statut
Membre
Dernière intervention
30 mars 2013
1
Ca semble magique, même si j'y comprends strictement rien !
T'es un as Guillaume !
Merci toujours !

Rapport de ZHPFix 2013.3.9.1 par Nicolas Coolman, Update du 9/03/2013
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-30-03-2013-11-42-44.txt
Run by Laurence at 30/03/2013 11:42:43
High Elevated Privileges : OK
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)

Corbeille vidée

========== Logiciel(s) ==========
SUPPRIME Java 6 Update 20

========== Clé(s) du Registre ==========
ABSENT Key: Service: 02 (0201061345322926mcinstcleanup
SUPPRIME Key: Service: 0201061345322926mcinstcleanup
SUPPRIME Key: HKLM\Software\Wow6432Node\WiseConvert_1.5
SUPPRIME Key*: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
ABSENT Key: HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}

========== Valeur(s) du Registre ==========
ABSENT Valeur Standard Profile: FirewallRaz :
ABSENT Valeur Domain Profile: FirewallRaz :
SUPPRIME FirewallRaz (Domain) : NetPres-In-TCP-NoScope
SUPPRIME FirewallRaz (Domain) : NetPres-Out-TCP-NoScope
SUPPRIME FirewallRaz (None) : NetPres-WSD-In-UDP
SUPPRIME FirewallRaz (None) : NetPres-WSD-Out-UDP
SUPPRIME FirewallRaz (Public) : NetPres-In-TCP
SUPPRIME FirewallRaz (Public) : NetPres-Out-TCP

========== Dossier(s) ==========
SUPPRIME Folder: C:\Users\Laurence\AppData\Local\{3F6EC165-3F17-45F8-A7B1-8592CD9804F3}
SUPPRIME Folder: C:\Users\Laurence\AppData\Local\{485F003A-6393-4583-B133-DA5FCF44283C}
SUPPRIME Folder: C:\Users\Laurence\AppData\Local\{5F85FCF5-84BE-4374-9EEA-FED0815FE0B6}
SUPPRIME Folder: C:\Users\Laurence\AppData\Local\{61408258-C79B-48A5-9184-CF1540110BC7}
SUPPRIME Folder: C:\Users\Laurence\AppData\Local\{F51B227A-F7B7-4A14-B6E8-42DDB6D297BC}

========== Fichier(s) ==========
ABSENT File: c:\users\laurence\appdata\local\temp\020106~1.exe
SUPPRIME File: c:\windows\prefetch\ytbb.exe-d6c70f17.pf
SUPPRIME Temporaires Windows


========== Récapitulatif ==========
5 : Clé(s) du Registre
8 : Valeur(s) du Registre
5 : Dossier(s)
3 : Fichier(s)
1 : Logiciel(s)


End of clean in 01mn 11s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 30/03/2013 11:42:44 [2106]

Re


On finalise

Télécharge DelFix de Xplode

Lance le.
Tu as 5 choix :

Réactiver l'UAC
Supprimer les outils de désinfection (cocher par défaut)

Effectuer une sauvegarde du registre
Purger la restauration de système
Réinitialisation des paramètres usine

Tu coches ceux qui sont en gras
et tu exécutes
Le rapport se trouve ici généralement
C:\DelFix.txt



Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html


@+
Je vais regarder ta protection d'ordi attentivement sur Malekal.
Acutellement, j'tilise ccleaner tous les jours, MBAM environ 1 fois par semaine, et j'ai kapersky à jour. Kapersky m'a prévenu pour le trojan, mais n'a pas empêché de l'attraper...
Ca m'a surpris de supprimer les logiciels de diag avec ton dernier truc.
Tu sais maintenant que le trojan est bien supprimé ?
Je relance une analyse kapersky (que je comprends mieux) ?
Sinon, encore un grand merci d'avoir passé du temps à m'aider, Guillaume
Vraiment sympa.
Grace à ton aide j'évite peut être aussi de disséminer encore ce trojan.
Laurence

Rapport sur Delfix :

# DelFix v10.1 - Rapport créé le 30/03/2013 à 12:33:45
# Mis à jour le 23/02/2013 par Xplode
# Nom d'utilisateur : Laurence - LAURENCE-TOSH

~ Activation de l'UAC ... OK

~ Suppression des outils de désinfection ...

Supprimé : C:\ZHP
Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Users\Laurence\Desktop\ZHPDiag.txt
Supprimé : C:\Users\Laurence\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~ Purge de la restauration système ...

Supprimé : RP #57 [Windows Update | 01/26/2013 12:57:18]
Supprimé : RP #58 [Windows Update | 01/31/2013 12:03:56]
Supprimé : RP #59 [Windows Update | 02/08/2013 03:22:27]
Supprimé : RP #60 [Windows Update | 02/13/2013 00:08:37]
Supprimé : RP #61 [Windows Update | 02/23/2013 23:11:18]
Supprimé : RP #62 [Removed Java(TM) 6 Update 20 | 03/30/2013 10:41:45]

Nouveau point de restauration créé !

########## - EOF - ##########

Bonsoir

Je te propose donc de mettre ce sujet en résolu

@+