TR /Trash.Gen

[exohuit]

Bonjour,

 

depuis quelques temps mon antivirus "antivir" détecte le trojan mentionné ci-dessus.

 

Que je lui refuse l'accès ou que je le supprime ne change rien car il revient régulièrement

 

J'ai pourtant fait un scan complet en mode sans échec avec "antivir" ainsi qu'avec "malwarebytes anti malware"

 

et je n'ai pas réussi à l'éradiquer

 

J'ai fait un rapport hijackthis mais je ne sais pas l'analyser, voulez vous que je vous le poste ?

 

Quelqu'un peut-il m'aider SVP ?

[pear]

Bonjour,

 

Postez les rapports Antivir et Malewre'sBytes, svp.

[exohuit]

Bonjour,

 

Postez les rapports Antivir et Malewre'sBytes, svp.

 

Bonsoir,

voici le rapport antivir

 

 

 

Avira AntiVir Personal

Date de création du fichier de rapport : samedi 27 février 2010 19:16

 

La recherche porte sur 1796891 souches de virus.

 

Détenteur de la licence :Avira AntiVir Personal - FREE Antivirus

Numéro de série : 0000149996-ADJIE-0000001

Plateforme : Windows XP

Version de Windows :(Service Pack 3) [5.1.2600]

Mode Boot : Démarré normalement

Identifiant : SYSTEM

Nom de l'ordinateur :CHEVALLI-883ADF

 

Informations de version :

BUILD.DAT : 8.2.0.62 17752 Bytes 23/10/2009 13:16:00

AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:00

AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27

LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16

LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27

ANTIVIR0.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 22:41:15

ANTIVIR1.VDF : 7.10.3.84 5532016 Bytes 26/01/2010 17:30:57

ANTIVIR2.VDF : 7.10.4.154 1374624 Bytes 26/02/2010 10:19:24

ANTIVIR3.VDF : 7.10.4.158 68608 Bytes 26/02/2010 10:19:24

Version du moteur: 8.2.1.176

AEVDF.DLL : 8.1.1.3 106868 Bytes 23/01/2010 09:35:47

AESCRIPT.DLL : 8.1.3.17 1032570 Bytes 27/02/2010 10:19:29

AESCN.DLL : 8.1.5.0 127347 Bytes 27/02/2010 10:19:27

AESBX.DLL : 8.1.2.0 254323 Bytes 27/02/2010 10:19:26

AERDL.DLL : 8.1.4.2 479602 Bytes 20/02/2010 19:21:13

AEPACK.DLL : 8.2.0.8 426357 Bytes 20/02/2010 19:21:11

AEOFFICE.DLL : 8.1.0.39 196987 Bytes 20/02/2010 19:21:09

AEHEUR.DLL : 8.1.1.7 2326902 Bytes 20/02/2010 19:21:08

AEHELP.DLL : 8.1.10.1 237942 Bytes 27/02/2010 10:19:26

AEGEN.DLL : 8.1.2.0 373107 Bytes 27/02/2010 10:19:25

AEEMU.DLL : 8.1.1.0 393587 Bytes 03/10/2009 09:17:31

AECORE.DLL : 8.1.12.1 188790 Bytes 27/02/2010 10:19:25

AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56

AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02

AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58

AVREP.DLL : 8.0.0.7 159784 Bytes 20/02/2010 19:20:56

AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37

AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19

AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46

SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02

SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36

NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07

RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:16

RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:43

 

Configuration pour la recherche actuelle :

Nom de la tâche..................: Contrôle intégral du système

Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp

Documentation....................: bas

Action principale................: interactif

Action secondaire................: ignorer

Recherche sur les secteurs d'amorçage maître: marche

Recherche sur les secteurs d'amorçage: marche

Secteurs d'amorçage..............: C:, E:,

Recherche dans les programmes actifs: marche

Recherche en cours sur l'enregistrement: marche

Recherche de Rootkits............: arrêt

Fichier mode de recherche........: Sélection de fichiers intelligente

Recherche sur les archives.......: marche

Limiter la profondeur de récursivité: 20

Archive Smart Extensions.........: marche

Heuristique de macrovirus........: marche

Heuristique fichier..............: moyen

 

Début de la recherche : samedi 27 février 2010 19:16

 

La recherche sur les processus démarrés commence :

Processus de recherche 'avwsc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'BlueSoleil.exe' - '1' module(s) sont contrôlés

Processus de recherche 'emule.exe' - '1' module(s) sont contrôlés

Processus de recherche 'jucheck.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'skypePM.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés

Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ALERTM~1.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'PollingModule.exe' - '1' module(s) sont contrôlés

Processus de recherche 'soffice.bin' - '1' module(s) sont contrôlés

Processus de recherche 'Inactivity.exe' - '1' module(s) sont contrôlés

Processus de recherche 'Toaster.exe' - '1' module(s) sont contrôlés

Processus de recherche 'soffice.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ComComp.exe' - '1' module(s) sont contrôlés

Processus de recherche 'Skype.exe' - '1' module(s) sont contrôlés

Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés

Processus de recherche 'pg2.exe' - '1' module(s) sont contrôlés

Processus de recherche 'GestionnaireInternet.exe' - '1' module(s) sont contrôlés

Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés

Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'V0350Mon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'StartFX.exe' - '1' module(s) sont contrôlés

Processus de recherche 'TaskBarIcon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'schedhlp.exe' - '1' module(s) sont contrôlés

Processus de recherche 'TrueImageMonitor.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SeaPort.exe' - '1' module(s) sont contrôlés

Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés

Processus de recherche 'FTRTSVC.exe' - '1' module(s) sont contrôlés

Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés

Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés

Processus de recherche 'schedul2.exe' - '1' module(s) sont contrôlés

Processus de recherche 'a2service.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés

Processus de recherche 'services.exe' - '1' module(s) sont contrôlés

Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

'55' processus ont été contrôlés avec '55' modules

 

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

Secteur d'amorçage maître HD1

[iNFO] Aucun virus trouvé !

Secteur d'amorçage maître HD2

[iNFO] Aucun virus trouvé !

[AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt.

Secteur d'amorçage maître HD3

[iNFO] Aucun virus trouvé !

[AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt.

Secteur d'amorçage maître HD4

[iNFO] Aucun virus trouvé !

[AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt.

Secteur d'amorçage maître HD5

[iNFO] Aucun virus trouvé !

[AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt.

 

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'E:\'

[iNFO] Aucun virus trouvé !

 

La recherche sur les renvois aux fichiers exécutables (registre) commence.

Le registre a été contrôlé ( '54' fichiers).

 

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\'

C:\pagefile.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\PN8FMWMF\upgrade[1].cab

[0] Type d'archive: CAB (Microsoft)

--> upgrade.exe

[1] Type d'archive: NSIS

--> [unknownDir]/questservice.dll

[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bf06293.qua' !

C:\Documents and Settings\Robin\Menu Démarrer\Programmes\Démarrage\monnid32.exe

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

C:\System Volume Information\_restore{4613D859-C803-47FB-B300-306C619A993D}\RP405\A0041609.dll

[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bb96655.qua' !

C:\System Volume Information\_restore{4613D859-C803-47FB-B300-306C619A993D}\RP406\A0041726.dll

[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bb96661.qua' !

C:\System Volume Information\_restore{4613D859-C803-47FB-B300-306C619A993D}\RP406\A0041797.dll

[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bb96666.qua' !

C:\System Volume Information\_restore{4613D859-C803-47FB-B300-306C619A993D}\RP451\A0046352.sys

[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bb966f2.qua' !

C:\System Volume Information\_restore{4613D859-C803-47FB-B300-306C619A993D}\RP451\A0046516.exe

[RESULTAT] Contient le modèle de détection du ver WORM/Koobface.fy

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bb966f9.qua' !

Recherche débutant dans 'E:\' <Datas 80>

 

 

Fin de la recherche : samedi 27 février 2010 20:02

Temps nécessaire: 45:55 Minute(s)

 

La recherche a été effectuée intégralement

 

12587 Les répertoires ont été contrôlés

378062 Des fichiers ont été contrôlés

6 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

6 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

2 Impossible de contrôler des fichiers

378054 Fichiers non infectés

2908 Les archives ont été contrôlées

6 Avertissements

6 Consignes

 

 

 

et voici le rapport malwarebyte

 

Malwarebytes' Anti-Malware 1.44

Version de la base de données: 3833

Windows 5.1.2600 Service Pack 3

Internet Explorer 6.0.2900.5512

 

07/03/2010 22:41:37

mbam-log-2010-03-07 (22-41-37).txt

 

Type de recherche: Examen rapide

Eléments examinés: 1

Temps écoulé: 2 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

[exohuit]

désolé,je n'avais pas posté le bon rapport malware byte , le voici

 

Malwarebytes' Anti-Malware 1.44

Version de la base de données: 3838

Windows 5.1.2600 Service Pack 3

Internet Explorer 6.0.2900.5512

 

08/03/2010 23:55:43

mbam-log-2010-03-08 (23-55-34).txt

 

Type de recherche: Examen complet (C:\|E:\|)

Eléments examinés: 247803

Temps écoulé: 1 hour(s), 38 minute(s), 30 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\Documents and Settings\Robin\Local Settings\Temporary Internet Files\Content.IE5\SPEVKPA3\AbsoluCasino[1].exe (Rogue.AdorableCasino) -> No action taken.

[pear]

Bonjour,

Relancez Mbam et supprimez ce qu'il trouve.

 

Désinstallez la Restauration Système.

 

Poste de Travail->Propriétés->Restauration Système.

Cocher la case "Désactiver la Restauration sur tous les lecteurs".

Vous la décocherez en suite

Un nouveau point de restauration sera créé au redémarrage.

[exohuit]

Bonjour,

Relancez Mbam et supprimez ce qu'il trouve.

 

Désinstallez la Restauration Système.

 

Poste de Travail->Propriétés->Restauration Système.

Cocher la case "Désactiver la Restauration sur tous les lecteurs".

Vous la décocherez en suite

Un nouveau point de restauration sera créé au redémarrage.

 

Bonsoir,

 

je viens de faire le scan Mbam qui n'a rien trouvé

 

par contre pendant l'examen , antivir a trouvé 2 fois TR/Trash.Gen dans C/System Volume/Information/restore

 

J'ai fait aussi la désactivation de la restauration système et j'ai redémarré le pc

[exohuit]

Bonsoir,

 

je viens de faire le scan Mbam qui n'a rien trouvé

 

par contre pendant l'examen , antivir a trouvé 2 fois TR/Trash.Gen dans C/System Volume/Information/restore

 

J'ai fait aussi la désactivation de la restauration système et j'ai redémarré le pc

 

 

Bonjour,

 

comme je n'ai pas eu de réponse de votre part , je suppose que c'est bon

 

de mon côté je n'ai pas remarqué d'autres alertes de virus ou trojans

 

En tout cas je vous remercie pour votre aide

[pear]

C'est probablement bon si vous avez fait la dernière manipulation que je vous ai proposée.

J'attendais votre réponse la dessus.

[exohuit]

Bonjour,

 

Effectivement je confirme que c'est ok car je n'ai plus de message d'alerte

 

Je vous remercie encore , vous avez été très efficace

 

Bravo