Aide contre Trojan.Generic.4724019 et wlcomn.exe

Statut
N'est pas ouverte pour d'autres réponses.
schwester

schwester

Expert
Bonjour à tous,

Je vous écris pour solliciter votre aide face à un trojan sur mon pc portable.

En effet, comme mentionné dans le titre, je suis infecté par un virus qui porte le nom de : Trojan.Generic.4724019
Et d'après mon antivirus (Bit Defender Security 2010), il est localisé à :
C:\Windows\WINDOWS\system32\wlcomn.exe

J'ai déjà lancé un premier scan, qui a supprimé des fichiers mais malheureusement je suis toujours confronté à ce problème. Mon antivirus m'indique par des alertes qu'il supprime toujours les virus.
En ce moment je lance une analyse approfondie, mais je suis toujours infecté....

Pouvez vous m'aider svp?

Merci d'avance!
 
cosmido

cosmido

Grand Maître
Produisez un diagnostique complet du PC.

Téléchargez sur votre bureau
Vous devez être connecté pour voir les liens.
(de Coolman).

Avec XP :
• Lancer ZHPDiag.exe par un double-clique

Avec Vista/Win7 :
• Lancer ZHPDiag.exe par un clic-droit → Exécuter en tant qu'Adm..

…………..Le rapport ZHPDiag.txt va s'ouvrir..



Au lieu de poster ce rapport "trop volumineux" direct sur le forum.

► Poster le avec l'hébergeur CJoint -
Vous devez être connecté pour voir les liens.
.
 
schwester

schwester

Expert
l'analyse bitdefender est terminé, par contre il y a deux fichiers qu'il n'arrive pas à supprimer.
il s'agit de Backdoor.Generic.339980 et Trojan.Generic.2882230

voilà le rapport de ZHPDiag réalisé après le scan de mon AV:
Vous devez être connecté pour voir les liens.


merci
 
cosmido

cosmido

Grand Maître
Lancer ZHPFix.exe par un clic-droit → Exécuter en tant qu'adm..
• Cliquez sur le bouton [H].
• Copiez/collez la Citation dans la fenêtres de ZHPFix,
• Cliquez sur [OK]
• Cliquez sur [Tous] et sur [Nettoyer],
O4 - HKLM\..\Run: [HKLM] C:\Windows\WINDOWS\system32\wlcomn.exe (.not file.)
O4 - HKCU\..\Run: [HKCU] C:\Windows\WINDOWS\system32\wlcomn.exe (.not file.)
O4 - HKLM\..\policies\Explorer\Run: [Policies] C:\Windows\WINDOWS\system32\wlcomn.exe (.not file.)
O4 - HKCU\..\policies\Explorer\Run: [Policies] C:\Windows\WINDOWS\system32\wlcomn.exe (.not file.)
O4 - HKUS\S-1-5-21-2857671376-1577249231-3685839511-1000\..\Run: [HKCU] C:\Windows\WINDOWS\system32\wlcomn.exe (.not file.)
O40 - ASIC: (no name) - {83CJDALL-734U-TRQY-5S78-I30KOPLF3658} . (.Pas de propri?taire - Pas de description.) -- C:\Windows\WINDOWS\system32\wlcomn.exe
O42 - Logiciel: Java 6 Update 5 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160050}
O42 - Logiciel: Java 6 Update 7 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160070}
O42 - Logiciel: Viewpoint Media Player - (.Pas de propri?taire.) [HKLM] -- ViewpointMediaPlayer
[HKLM\Software\Viewpoint]
O43 - CFD:Common File Directory ----D- C:\Program Files\DAEMON Tools Toolbar
O43 - CFD:Common File Directory ----D- C:\Program Files\Viewpoint
O43 - CFD:Common File Directory ----D- C:\ProgramData\Viewpoint
O64 - Services: CurCS - (.not file.) - bd98126d (bd98126d) .(.Pas de propri?taire - Pas de description.) - LEGACY_BD98126D
O64 - Services: CurCS - (.not file.) - c30eb9d0 (c30eb9d0) .(.Pas de propri?taire - Pas de description.) - LEGACY_C30EB9D0
O64 - Services: CurCS - (.not file.) - c7b53909 (c7b53909) .(.Pas de propri?taire - Pas de description.) - LEGACY_C7B53909
O64 - Services: CurCS - (.not file.) - d66514e6 (d66514e6) .(.Pas de propri?taire - Pas de description.) - LEGACY_D66514E6
O64 - Services: CurCS - (.not file.) - e91f62f6 (e91f62f6) .(.Pas de propri?taire - Pas de description.) - LEGACY_E91F62F6
MBRFix
Cliquez pour agrandir...
► Redémarrer le PC.

► Vous posterez le rapport.

==========================================

• Telechargez
Vous devez être connecté pour voir les liens.
de C_XX & Chiquitine29,

/|\ Branchez tout vos périphériques USB externes, /|\

• Lancez UsbFix
• Sélectionnez l'option [Recherche]

.. Laisse le aller, le rapport apparaîtra,
Postez le rapport UsbFix.txt ( C:\UsbFix.txt ).

P.S.:
"Process.exe"; une composante de l'outil, est détecté par certains antivirus.
Il ne s'agit pas d'un virus, mais d'un module d’USBFix.
=========================================

Vérification de répertoires suspects.
• Aller dans Démarrer → Tout les programmes → Accessoires ..
• Ouvrez l'invité de commandes par un clic-droit sur → Exécuter en tant qu'adm..
• Copier/coller(par un clic-droit) les commandes suivantes et valider pour chacune :

Dir /a /s "C:\ProgramData\Menu D*marrer" >> C:\rapDir.txt
Dir /a /s "C:\ProgramData\Mod*les" >> C:\rapDir.txt
Start notepad C:\rapDir.txt


► Poster le rapport C:\rapDir.txt qui va s'ouvrir.

=========================================

Mises à jours Logiciels.
Important pour prévenir les failles de sécurités des logiciels qui ont accès à Internet.

• Adobe :
Vous devez être connecté pour voir les liens.

• Java : http://www.java.com/fr/

Vous ferez Sumo après la désinfection..
• Faites les mise à jours proposées par
Vous devez être connecté pour voir les liens.
.
► À vérifier aux 30jours.

Utilisation de Sumo Lite.
Éviter d'installer la mise à jours de la version de Sumo non Lite. Qui contient un genre d'Adware. Pratique très courante par les éditeurs, pour rentabiliser leurs produits offerts gratuitement. En s'associant à une Régie publicitaire.

• Appuyer sur [Scan] et ensuite [Vérifier]
• Les icônes dans la colonne de gauche, montrent les m-à-j majeures ou mineures.
• Vous pouvez accéder aux téléchargements des mises à jours des logiciels, en double-cliquant sur leurs lignes. Arrivé sur le site de Sumo, même si les téléchargements depuis Sumo étaient sécuritaires. Toujours favoriser de télécharger un logiciel depuis le site de son éditeur ! Le quel site est accessible sur la page de Sumo.
==================================================


Relancer ZHPDiag et poser un nouveau rapport.


 
schwester

schwester

Expert
voilà j'ai lancé ZHPFix comme indiqué et redemarré le pc.
j'ai relancé ZHPDiag et voilà le rapport :
Vous devez être connecté pour voir les liens.


dois-je continuer la suite des manipulations?
mon pc est stable apparement. mon antivirus cesse les alertes.

merci beaucoup!
 
cosmido

cosmido

Grand Maître
j'ai lancé ZHPFix comme indiqué et redemarré le pc.
j'ai relancé ZHPDiag et voilà le rapport :
Vous devez être connecté pour voir les liens.
Cliquez pour agrandir...
ZHPFix ne peut avoir été fait, avant que ce nouveau rapport de ZHPDiag ait été fait. Parce que ce rapport ZHPDiag(fait à 23:16:50) qui vient d'être placé. Montre exactement les même infections, que le 1ier rapport placé(fait à 18:22:41).

dois-je continuer la suite des manipulations?
mon pc est stable apparement. mon antivirus cesse les alertes.
Cliquez pour agrandir...
À moins qu'il s'agisse d'une +-petite infection. Et que cette +-petite infection, entre dans le rayon des infections gérées par l'antivirus de service. Un antivirus ne désinfectera jamais complètement un ordi. Et ça peut importe l'antivirus de service qui est en place. Ou ce, même si l'utilisateur, utilise plusieurs autre scanner consécutivement.

Tout ce que sait faire un antivirus. Est des détecter des fichiers qui ont déjà été répertoriés comme infection ; selon leurs tailles, titre etc.
Après ça, il y aurait "supposément" le moteur de détection heuristique. Ça c'est le truc qui fait, entre autre, plein de fausse détections. Sauf quand, dans un très faible %, y détecte quelques choses de valable.

Bref.., bien que BitDefender ait désinfecté en parti l'infection qui affligeait votre ordi. Il y a encore plein de trucs, qui sans être très dangereux, ne sont pas recommandés. Et une infection du MBR, qui ne tardera pas à réinfecter l'ordi., quelques part après un ou quelques redémarrage.

Préférable de poster tout les rapports des procédures proposées, au message précédent.
 
schwester

schwester

Expert
bonjour,
j'ai repris depuis le début. alors j'ai lancé ZHPFix et voilà le rapport de suppression:
Rapport de ZHPFix v1.12.3149 par Nicolas Coolman, Update du 11/09/2010
Fichier d'export Registre : C:\ZHPExportRegistry-14-09-2010-17-39-30.txt
Run by MySa at 14/09/2010 17:39:30
Web site :
Vous devez être connecté pour voir les liens.

Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O40 - ASIC: (no name) - {83CJDALL-734U-TRQY-5S78-I30KOPLF3658} . (.Pas de propri?taire - Pas de description.) -- C:\Windows\WINDOWS\system32\wlcomn.exe => Clé absente
HKLM\Software\Viewpoint => Clé absente
O64 - Services: CurCS - (.not file.) - bd98126d (bd98126d) .(.Pas de propri?taire - Pas de description.) - LEGACY_BD98126D => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - c30eb9d0 (c30eb9d0) .(.Pas de propri?taire - Pas de description.) - LEGACY_C30EB9D0 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - c7b53909 (c7b53909) .(.Pas de propri?taire - Pas de description.) - LEGACY_C7B53909 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - d66514e6 (d66514e6) .(.Pas de propri?taire - Pas de description.) - LEGACY_D66514E6 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - e91f62f6 (e91f62f6) .(.Pas de propri?taire - Pas de description.) - LEGACY_E91F62F6 => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [HKLM] C:\Windows\WINDOWS\system32\wlcomn.exe (.not file.) => Valeur absente
O4 - HKCU\..\Run: [HKCU] C:\Windows\WINDOWS\system32\wlcomn.exe (.not file.) => Valeur absente
O4 - HKLM\..\policies\Explorer\Run: [Policies] C:\Windows\WINDOWS\system32\wlcomn.exe (.not file.) => Valeur absente
O4 - HKCU\..\policies\Explorer\Run: [Policies] C:\Windows\WINDOWS\system32\wlcomn.exe (.not file.) => Valeur absente
O4 - HKUS\S-1-5-21-2857671376-1577249231-3685839511-1000\..\Run: [HKCU] C:\Windows\WINDOWS\system32\wlcomn.exe (.not file.) => Valeur absente

========== Dossier(s) ==========
C:\Program Files\DAEMON Tools Toolbar => Supprimé et mis en quarantaine
C:\Program Files\Viewpoint => Dossier absent
C:\ProgramData\Viewpoint => Dossier absent

========== Fichier(s) ==========
c:\windows\windows\system32\wlcomn.exe => Supprimé et mis en quarantaine

========== Logiciel(s) ==========
O42 - Logiciel: Java 6 Update 5 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160050} => Logiciel non supprimé
O42 - Logiciel: Java 6 Update 7 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160070} => Logiciel non supprimé
O42 - Logiciel: Viewpoint Media Player - (.Pas de propri?taire.) [HKLM] -- ViewpointMediaPlayer => Logiciel déjà supprimé

========== Master Boot Record ==========
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer,
Vous devez être connecté pour voir les liens.


device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys hpdskflt.sys hal.dll iaStor.sys spma.sys >>UNKNOWN [0x86EE7938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x86f321f8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !

Resultat après le fix :



























========== Récapitulatif ==========
7 : Clé(s) du Registre
5 : Valeur(s) du Registre
3 : Dossier(s)
1 : Fichier(s)
3 : Logiciel(s)
1 :Master Boot Record


End of the scan
 
cosmido

cosmido

Grand Maître
D'après le rapport de ZHPFix, il semblerait que devrez faire un FixMBR.

Tout de même, avez vous le CD "original" de Windows.
Sinon allez devoir utiliser/créer un CD de démarrage pour faire un FixMbr.

Je vous placerez le téléchargement et procédure pour créer le CD, après avoir vérifier le nouveau rapport de ZHPDiag.
 
cosmido

cosmido

Grand Maître
- Relancez USBFix,
- tout les périphériques branchés
- Et sélectionner [Suppression]
>> Poster le rapport.

Ensuite vous le relancerez et sélectionnerez sa [Désinstallation].

 
schwester

schwester

Expert
sinon je n'ai pas le cd de windows car je suis un sur un pc portable. (vista)

dois je faire un fixMBR?
 
cosmido

cosmido

Grand Maître
Le rapport de ZHPFix semble aller dans le sens, qu'un FixMBr sera nécessaire. Mais avant d'en arriver la. Validons ça avec un nouveau rapport "attendu" de ZHPDiag.

Et après, ..si nécessaire.
Ben y a une console de récupération WinRE, disponible pour version OEM sur
Vous devez être connecté pour voir les liens.
. Identique en tout points, à ce qu'a à offrir l'authentique console de Windows ! Et ça, en toute légalité ! La commande pour Vista / Win7, serait plutôt : Bootrec /FixMBR (←
Vous devez être connecté pour voir les liens.
).
 
cosmido

cosmido

Grand Maître
Le rapport de ZHPDiag montre et +que ça, suggère fortement de refaire le MBR.

Installer WinRE depuis le lien au message précédent.
Pour ensuite redémarrer sur le CD de WinRE.
Et depuis l'invité de commande, lancer ; Bootrec /FixMBR
 
schwester

schwester

Expert
j'ai téléchargé WinRE pour vista 32bit en français, puis j'ai gravé l'image sur un dvd avec power iso.

au redémarrage de windows, il m'a été demandé d'appuyer sur une touche pour lancer le cd-rom. ce que j'ai fait.

mais un message d'erreur est apparu:
"The file is possibly corrupt. The file header checksum does not match the compute checksum"

que faire? merci!
 
schwester

schwester

Expert
Effectivement, avec un beau cd tout neuf et une vitesse de gravure moins élevée, çà marche! Je n'ai plus eu ce problème de fichier corrompu!

J'ai fait comme indiqué, j'ai cliqué sur "réparer windows" puis "invite commande" dans la page options de récupération système.
Et j'ai tapé : Bootrec.exe/FixMbr
Il m'a indiqué : "opération réussie"

Donc c'est bon?

Ensuite j'ai redémarré windows.

Dois refaire un ZHPDiag?

Merci
 
Statut
N'est pas ouverte pour d'autres réponses.
Dernières actus
Derniers messages publiés
Statistiques globales
Discussions
730 122
Messages
6 717 711
Membres
1 586 355
Dernier membre
Chris7miles77
Partager cette page
Haut