Aide virus ou programme indésirable détecté: TR/Dropper.Gen (Avira) - Boxore

Bonjour à tous,

Pour la petite anecdote, voilà des mois que je cherche un forum comme le vôtre ou demander de l'aider quand on a un virus, une infection ou quoique ce soit d'autre sur son pc, et ça me fait très plaisir d'être enfin tombé sur celui-ci qui me semble sérieux et très accueillant.

Ce n'est pas la première fois que j'ai une infection sur mon pc, je n'en peux plus! En janvier j'ai eu un virus (excusez-moi, je sais que ce terme est très générique, ce n'était peut-être pas exactement un virus mais un programme très dangereux, je me rappelle juste des dizaines de rootkit qui s'étaient infiltrés dans mon pc) très très violent qui a dérobé les codes et mots de passe banquaire d'un de de mes collocataires et lui ont volé 10 000 euros!
Je n'ai pas encore rebooté mon pc depuis, mais je DOIS le faire prochainement, même si toutes les infections que j'avais ont été exterminées.
Ensuite j'ai eu un adware il y a deux semaines, rien de très grave, mais ça stresse pendant les examens!

Et voilà qu'aujourd'hui, Avira détecte un Trojan! Là je n'en peux vraiment plus, j'ai décidé de directement trouver un forum pour obtenir de l'aide.
Mes connaissances en informatique sont TRES basiques, donc n'hésitez pas à bien détailler ce que vous me demanderez (je m'en excuse d'avance).

Voilà pour la petite présentation informatique! (Sinon j'ai 21 ans, je suis étudiant à l'université et je m'appelle Florian )

Pour les config pc:
Windows 7
Asus K52J

Et au niveau de l'infection, voilà le dernier rapport d'Avira quand il a détecté l'infection:


Type: Fichier
Source : C:\Program Files (x86)\Software\Update\Download\{7AE4A294-161C-463E-8E70-9F64021BF4D1}\SoftwareUpdateSetup.exe
État : Contaminé
Objet quarantaine : 56d1f547.qua
Restauré : NON
Chargé vers Avira : NON
Système d'exploitation : Windows 2000/XP/VISTA Workstation
Moteur de recherche : 8.02.10.80
Fichier de définitions des virus : 7.11.32.120
Message : Contient le cheval de Troie TR/Dropper.Gen
Date/Heure : 13/06/2012, 11:30


J'ai installé Malware Anti-Marlware mais comme je suis en train de faire une analyse avec Antivir, j'attends la fin de celle-ci avant d'ouvrir Anti-Malware, j'ai créé un point de sauvegarde avec le software que vous proposez sur le forum et j'ai installé ZHPFix mais je ne trouve pas la loupe pour lancer l'analyse

La première chose que je voudrais savoir, c'est si c'est une infection grave?
Je dois réaliser un paiement important demain matin et je ne voudrais pas qu'il m'arrive quoique ce soit.

Ensuite, j'essayerai de suivre vos instructions pour l'éradiquer. J'ai déjà supprimé le fichier une fois, mais apparemment il est revenu, donc je le laisse en quarantaine cette fois, mais j'aimerai toutefois être un peu rassuré (surtout par rapport à ce que j'ai déjà eu dans le passé). Pourquoi un trojan ne s'éradique pas quand on supprimer le dossier? De plus ce dossier a l'air d'être les mises à jour de software apple, je ne comprends pas comment il est arrivé là.

Je vous remercie énormément!

Bien à vous,

Florian


EDIT: Le virus ou trojan semble se répandre!
Avira vient de m'en trouver un autre ici:


Dans le fichier 'C:\Users\Utilisateur\AppData\Local\Temp\BITCB8B.tmp'
un virus ou un programme indésirable 'TR/Dropper.Gen' [trojan] a été détecté.
Action exécutée : Autoriser l'accès


Pour l'instant je les isole en quarantaine, mais j'avoue que ça me tracasse de plus en plus... S'il vous plait, si vous lisez, dites quelque chose pour me rassurer ou quelque chose à faire. Merci!


EDIT 2:
En fait, je pense que ce "virus"/trojan revient dans le même répertoire toutes les 5 heures. Le repertoire "Software" dans mes programmes files (x86) contient un dossier "Software" assez suspect, avec juste l'application "SoftwareUpdate.exe", un répertoire nommé 1.2.195.0 qui ne contient rien, et un autre nommé "Download", là où Avira détecte les trojan.
Il y en a 3 maintenant, et ils ont l'air de revenir à rythme régulier. Puis-je supprimer le répertoire et ça supprimera le trojan?
Je ne sais même pas ce que c'est ce SoftwareUpdate.exe...
J'espère que ça peut vous aider à trouver!

bonjour HomerFry et bienvenue sur le forum

pour avancer l' helper qui te prendra en charge dès que possible
suis la procédure comme indiqué là : ( ce que tu as commencé à faire...)
http://www.bibou0007.com/t2887-procedure-a-suivre-avant-de-poster

HomerFry a écrit:

J'ai installé Malware Anti-Marlware mais comme je suis en train de faire une analyse avec Antivir, j'attends la fin de celle-ci avant d'ouvrir Anti-Malware, j'ai créé un point de sauvegarde avec le software que vous proposez sur le forum et j'ai installé ZHPFix mais je ne trouve pas la loupe pour lancer l'analyse

il faut lancer ZHPDiag avant !!


c' est ensuite qu' on te demandera d' utiliser ZHPFix

pense bien à heberger les rapports comme indiqué dans la procédure :
trop longs = laborieux et pas pratique sur le forum

Merci ! (Comme je l'ai précisé, parfois je ne comprends pas toujours tout très vite )

J'ai lancé ZHPDiag, dès que j'ai le rapport je cherche un moyen de l'héberger

http://cjoint.com/12jn/BFnsBPoEw9j.htm

Voilà le rapport de ZHPDiag.

Je suis en train de faire une analyse pour d'éventuels rootkits avec Avira. Dès que j'ai terminé, je lance une analyse avec Malware Anti-Malware pour que l'helper aie tout ce dont il a besoin en main pour m'aider.

J'espère vraiment que ce n'est rien de grave et que je pourrais l'éliminer rapidemment...

Désolé pour le double post...

Voilà le rapport de MBAM:

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.06.13.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Utilisateur :: ASUSK52JC [administrateur]

Protection: Activé

13/06/2012 21:11:46
mbam-log-2012-06-13 (21-33-13).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 233780
Temps écoulé: 8 minute(s), 49 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 2
C:\Users\Utilisateur\Downloads\cdburnerxp_telechargement_01net.exe (PUP.Toolbar.Repacked) -> Aucune action effectuée.
C:\Users\Utilisateur\Downloads\SoftonicDownloader_pour_virtual-dj.exe (PUP.ToolbarDownloader) -> Aucune action effectuée.

(fin)


Je mets ces deux fichiers en quarantaine aussi.

Entre-temps, Avira m'a à nouveau signalé mon trojan dropper, ça commence à faire beaucoup

J'espère que vous avez tous les éléments en main pour m'aider!

Si vous voyez des choses inutiles à supprimer par la même occasion, n'hésitez pas à me le communiquer, ça ne me fera pas de tort de nettoyer un peu ma machine.

Deux choses peut-être à signaler:
- Parfois mon navigateur Safari relance les pages tout seul, je n'ai encore pas compris pourquoi.
- L'écran de mon pc vire toujours au jaune lorsque je l'allume.

Peut-être que ça ne signifie rien comme ça peut peut-être avoir un lien.

Merci encore d'avance pour votre aide!

Bonjour

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.

http://general-changelog-team.fr/fr/downloads/finish/20-outils-de-xplode/2-adwcleaner

Lance le, clique sur [Recherche] puis patiente le temps du scan. Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse. Note : Le rapport est également sauvegardé sous C:\AdwCleaner[R1].txt

Voilà le rapport de AdwCleaner:

http://cjoint.com/12jn/BFojGRuerQK.htm

Merci Laddy!

Ps: Avira m'a à nouveau signaler le dropper dans un nouveau dossier, toujours au même endroit.


Type: Fichier
Source : C:\Program Files (x86)\Software\Update\Download\{EC0D8A12-E529-4A08-AAAC-CD74027509D9}\SoftwareUpdateSetup.exe
État : Contaminé
Objet quarantaine : 56ac3f6f.qua
Restauré : NON
Chargé vers Avira : NON
Système d'exploitation : Windows 2000/XP/VISTA Workstation
Moteur de recherche : 8.02.10.80
Fichier de définitions des virus : 7.11.32.120
Message : Contient le cheval de Troie TR/Dropper.Gen
Date/Heure : 14/06/2012, 09:35

Bonjour
feme tes navigateurs
relance adwcleaner en choississant suppression et poste le rapport.
Attention un redémarrage sera demandé

Rends toi sur ce site : https://www.virustotal.com/
Clic sur choose file

Rends toi vers le fichier incriminé : C:\Program Files (x86)\Software\Update\Download\{EC0D8A12-E529-4A08-AAAC-CD74027509D9}\SoftwareUpdateSetup.exe

Clic sur scan it.
Poste le résultat.

On va vérifier si ce n'est pa sun faux positif

Voilà le rapport de AdwCleaner en mode suppression:

http://cjoint.com/12jn/BFolwK3ttSH.htm

Et voilà ce que dit le site que tu m'as passé à propos de fichier. Chose étrange est que le site me dit que je suis déjà venu le tester il y a 3 semaines. De un, si je l'ai fait je ne m'en rappelle absolument pas, de deux ça pourrait coïncider avec le moment où j'ai reçu un Adaware sur mon pc et qu'Avira me l'avait déjà détecté. J'avais dû me contenter de supprimer le fichier je crois... d'où son retour.



SHA256: 973a411551581ca12a6c6aea100d8c0a825d6b62e50cf01ddc3a607a2faf2acd
SHA1: 64c384c3a21bbc1828f498831a5c5c22540cf169
MD5: 03f853fcb8535930bdcbfe2a160ab669
File size: 135.2 KB ( 138416 bytes )
File name: SoftwareUpdate.exe
File type: Win32 EXE
Detection ratio: 0 / 41
Analysis date: 2012-06-14 09:19:18 UTC ( 1 minute ago )
00
More details
Antivirus Result Update
AhnLab-V3 - 20120613
AntiVir - 20120614
Antiy-AVL - 20120614
Avast - 20120614
AVG - 20120614
BitDefender - 20120614
CAT-QuickHeal - 20120614
ClamAV - 20120614
Commtouch - 20120614
Comodo - 20120614
DrWeb - 20120614
Emsisoft - 20120614
eSafe - 20120612
F-Prot - 20120613
F-Secure - 20120614
Fortinet - 20120614
GData - 20120614
Ikarus - 20120614
Jiangmin - 20120614
K7AntiVirus - 20120613
Kaspersky - 20120614
McAfee - 20120614
McAfee-GW-Edition - 20120613
Microsoft - 20120614
NOD32 - 20120614
Norman - 20120613
nProtect - 20120613
Panda - 20120613
PCTools - 20120614
Rising - 20120614
Sophos - 20120614
SUPERAntiSpyware - 20120614
Symantec - 20120614
TheHacker - 20120614
TotalDefense - 20120613
TrendMicro - 20120614
TrendMicro-HouseCall - 20120613
VBA32 - 20120614
VIPRE - 20120614
ViRobot - 20120614
VirusBuster - 20120613


Les résultats d'il y a 3 semaines (même fichier en plus):

SHA256: 973a411551581ca12a6c6aea100d8c0a825d6b62e50cf01ddc3a607a2faf2acd
File name: virussign.com_03f853fcb8535930bdcbfe2a160ab669.vxe
Detection ratio: 0 / 42
Analysis date: 2012-05-20 13:03:44 UTC ( 3 semaines, 3 jours ago )
00
More details
Antivirus Result Update
AhnLab-V3 - 20120519
AntiVir - 20120518
Antiy-AVL - 20120520
Avast - 20120520
AVG - 20120520
BitDefender - 20120520
ByteHero - 20120518
CAT-QuickHeal - 20120518
ClamAV - 20120520
Commtouch - 20120520
Comodo - 20120519
DrWeb - 20120520
Emsisoft - 20120520
eSafe - 20120516
eTrust-Vet - 20120517
F-Prot - 20120519
F-Secure - 20120520
Fortinet - 20120520
GData - 20120520
Ikarus - 20120520
Jiangmin - 20120520
K7AntiVirus - 20120518
Kaspersky - 20120520
McAfee - 20120520
McAfee-GW-Edition - 20120520
Microsoft - 20120520
NOD32 - 20120520
Norman - 20120520
nProtect - 20120520
Panda - 20120520
PCTools - 20120520
Rising - 20120518
Sophos - 20120520
SUPERAntiSpyware - 20120519
Symantec - 20120520
TheHacker - 20120519
TrendMicro - 20120520
TrendMicro-HouseCall - 20120519
VBA32 - 20120518
VIPRE - 20120520
ViRobot - 20120520
VirusBuster - 20120520


Encore merci!

Re,
je pense que c'est un faux positif. essaie de le renommer en soft.exe.old pour voir


poste un nouveau rapport zhpdiag.

Voilà le rapport, j'ai renommé le fichier comme tu me l'avais dit, mais c'est comme si je le supprimais non?

http://cjoint.com/12jn/BFotpqxt2yS.htm

Si c'est la deuxième fois qu'il me pose problème et qu'il ne me sert à rien, peut-être pourrais-je le supprimer?

Si tu vois des choses inutiles à supprimer sur mon pc, n'hésite pas à me le dire

Merci beaucoup! Tu m'as vraiment soulagé!

Re
as tu volontairement supprimer le module o42 du rapport de Zhpdiag et d autres parties notamment sur les services ?
si ainsi que l on voit les logiciels suspects ou virulants.

Merci de reposter un rapport complet

Desinstalle spybot en désactivant au préalable le teatimer,
le logiciel sert à rien surtout si malwarebyte est présent sur ton pc.

ton na vigater par défaut est safari ?

Re,

Non je n'ai rien supprimé dans le rapport, je ne comprends rien à ce qu'il est écrit dedans

Revoici le lien:
http://cjoint.com/12jn/BFotZykibQD.htm

Peut-être faut-il que je coupe toutes applications pour qu'il fasse un bon rapport?

J'ai supprimé Spybot.

Mon navigateur par défaut est bien Safari, mais il m'arrive d'utiliser Mozilla de temps en temps.

Merci.

C est Zhpdiag qui a un soucis. desinstalle
nous allons utiliser un autre outil nommé OTL

les instructions sont dans ce sujet http://www.bibou0007.com/t2887-procedure-a-suivre-avant-de-poster

poste le rapport

merci bonne soirée

Voilà les rapports:

OTL: http://cjoint.com/12jn/BFoxgiUiC0O.htm

Extra: http://cjoint.com/12jn/BFoxgraMrrG.htm

Merci, bonne soirée à toi aussi

Desinstaller via le panneau de configuration programmes et fonctionnaliter les programmes suivants si présent :


audacity toolbar
bing bar
yahoo toolbar.

Elles ne servent à rien sauf à ralentir l ouverture des navigateurs internet.

Voilà c'est fait

Tu as besoin d'un nouveau rapport?

J'ai une application bizarre aussi dans mes programmes qui s'appellent "Boxore" et elle est installée depuis le 30/05, ce qui correspondrait à quand j'ai eu un adaware sur mon pc. J'ai lu qu'il n'était pas conseillé de la garde, dois-je la désinstaller où sert-elle à autre chose?

Le trojan/dropper ne s'est plus représenté depuis 24 heures, le problème est peut-être résolu, mais autant être sûr.

Un grand merci Laddy!

Si cette application ne te dit rien et que ce n est pas toi qui l'a installé
essaie de desinstaller via le panneau de configuration

non je dois analyser tes rapports mais faut de surcharge de travail ça met difficile mais à première vue rien au niveau infection, juste du nettoyage et optimsation à faire

comme par exemple, retirer open office au démarrage du pc , dropbox si tu ne le utilises pas

Ok pas de problème, si tu me dis qu'il n'y a rien de défectueux ou d'important à régler maintenant, je repasserai régulièrement pour venir lire ce que tu m'auras mis quand tu auras eu le temps de jeter un oeil aux rapports

Dropbox je l'utilise quotidiennement, Open Office rarement mais il me sert à lire certains documents.

En tout cas, c'est vraiment super sympa de m'avoir aidé sur ce problème là!
Ma première réaction quand j'aurais une infection sera de venir ici! Forum très accueillant, très rapide et très efficace! Encore merci!

Bonjour

OpenOffice :

Ouvre OpenOffice puis rends toi dans le menu Outils > Options > Mémoire Vive > Démarrage rapide > décoche la case chargement de openoffice au démarrage du Systeme.
Valide par Ok
Ferme le logiciel.
Redémarre ton PC


Colle ceci dans le cadre :


:OTL
@Alternate Data Stream - 16 bytes -> C:\Users\Utilisateur\Downloads:Shareaza.GUID
@Alternate Data Stream - 145 bytes -> C:\ProgramData\Temp:DFC5A2B2
@Alternate Data Stream - 135 bytes -> C:\ProgramData\Temp:7FFED16F
@Alternate Data Stream - 127 bytes -> C:\ProgramData\Temp:430C6D8
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O2:64bit: - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found.
IE - HKLM\..\SearchScopes,DefaultScope = {AFDBDDAA-5D3F-42EE-B79C-185A7020515B}


Poste le rapport
et reposte moi un nouveau rapport OTL en suivant les instructions données précédemment
Bon dimanche

Voilà, j'ai fait ce que tu m'as dit, voici les rapports (en espérant que je ne me sois pas trompé dans les manoeuves )

http://cjoint.com/12jn/BFsblkf6L3O.htm

Il ne m'a pas créé de dossier Extra, j'imagine que c'est normal.

Bonne journée Laddy, encore merci

Le rapport est illisible peux tu le réuploader s il te plait ?

Pour moi il est toujours lisible, mais je l'ai tout de même réuploadé

http://www.cjoint.com/confirm.php?cjoint=BFvkPLeB8ZJ

Si ça ne marche toujours pas, dis-le moi et je referrai un scan complet

Merci!
Bonne journée

la manipulation na pas été correctement faite apparemment
veille a ce que tout soit bien copié collé

Ce script va cibler certains éléments à supprimer :

• Lance OTL (si tu es sous Windows vista ou 7, fais un clic-droit dessus et choisis "exécuter en temps qu'administrateur")
• Copie/colle les lignes suivantes et place les dans la zone "personnalisation" :

Citation :

:OTL
@Alternate Data Stream - 16 bytes -> C:\Users\Utilisateur\Downloads:Shareaza.GUID
@Alternate Data Stream - 145 bytes -> C:\ProgramData\Temp:DFC5A2B2
@Alternate Data Stream - 135 bytes -> C:\ProgramData\Temp:7FFED16F
@Alternate Data Stream - 127 bytes -> C:\ProgramData\Temp:430C6D8
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O2:64bit: - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found.
IE - HKLM\..\SearchScopes,DefaultScope = {AFDBDDAA-5D3F-42EE-B79C-185A7020515B}

• Clique sur « Correction » et laisse l'outil travailler. Il est possible que l'ordinateur redémarre.
• Copie/colle la totalité du rapport dans ta prochaine réponse.

Reposte un rapport en mettant OTL sur le bureau merci

Sujet inactif > si tu souhaites la réouverture de ton sujet contact un membre de l'équipe avec un lien vers ton sujet et la raison de la réouverture.

Merci