Infecté par TR/Crypt.XDR.Gen :(
Dorian
-
Dorian -
Dorian -
Bonjour à tous ! :)
Et merci par avance de votre attention. Sans rentrer dans une foule de détails, je suis partis un mois pour passer des examens à Paris, et à mon retour, AntiVir sature d'alertes concernant ce troyen. Comme bien d'autres j'ai essayé de scanner mon system, de mettre les fichiers infectés en quarantaine, de les supprimer... Rien n'y fait, il réapparait toujours. Tous ces fichiers sont dans c:\windows\system32\drivers .
A part ça Avira est à jour, et je dois avouer que je ne sais pas comment j'ai pu l'attraper (à la limite peu importe si un de mes proches a fait une boulette en mon absence, c'est surtout que je ne peux pas être plus précis :/). A part Avira, je n'ai pas d'autres logiciels de nettoyage, mais je suis en train de récupérer Hijackthis et d'autres dont l'utilité a l'air récurrente.
En tous cas merci pour votre temps ! :)
Et merci par avance de votre attention. Sans rentrer dans une foule de détails, je suis partis un mois pour passer des examens à Paris, et à mon retour, AntiVir sature d'alertes concernant ce troyen. Comme bien d'autres j'ai essayé de scanner mon system, de mettre les fichiers infectés en quarantaine, de les supprimer... Rien n'y fait, il réapparait toujours. Tous ces fichiers sont dans c:\windows\system32\drivers .
A part ça Avira est à jour, et je dois avouer que je ne sais pas comment j'ai pu l'attraper (à la limite peu importe si un de mes proches a fait une boulette en mon absence, c'est surtout que je ne peux pas être plus précis :/). A part Avira, je n'ai pas d'autres logiciels de nettoyage, mais je suis en train de récupérer Hijackthis et d'autres dont l'utilité a l'air récurrente.
En tous cas merci pour votre temps ! :)
A voir également:
- Infecté par TR/Crypt.XDR.Gen :(
- Sennheiser tr 4200 problème - Forum TV & Vidéo
- Sennheiser tr 120 mode d'emploi - Forum TV & Vidéo
- Tr signification ✓ - Forum Loisirs / Divertissements
- Alerte windows ordinateur infecté - Accueil - Arnaque
- L'ordinateur de mustapha a été infecté par un virus répertorié récemment - Forum Virus
10 réponses
Bonjour,
Télécharge OTL de OLDTimer ici :
http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/
et enregistre le sur ton Bureau.
Double clic sur OTL.exe pour le lancer.
Coche les 2 cases Lop et Purity
Coche la case devant "scan all users"
Clic sur Run Scan.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)
Pour me le transmettre clique sur ce lien :
http://www.cijoint.fr/
Clique sur Parcourir et cherche le fichier ci-dessus.
Clique sur Ouvrir.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
Télécharge OTL de OLDTimer ici :
http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/
et enregistre le sur ton Bureau.
Double clic sur OTL.exe pour le lancer.
Coche les 2 cases Lop et Purity
Coche la case devant "scan all users"
Clic sur Run Scan.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)
Pour me le transmettre clique sur ce lien :
http://www.cijoint.fr/
Clique sur Parcourir et cherche le fichier ci-dessus.
Clique sur Ouvrir.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
Merci pour ta réponse :) Voici le lien: http://www.cijoint.fr/cjlink.php?file=cj200906/cijIJnc5Nb.txt
A part ça, je me suis déconnecté depuis mon dernier post, et à ma reconnection, Avira a lancé d'autres alertes, mais sous d'autres noms: Dr/Delphi.gen, TR/Hacktool.tcpz.A et un autre: W32/Virut.gen (ce dernier ne me plait pas trop je dois avouer, j'ai cru avoir lu des détails pas tres reluisants a son sujet...)
A tout hasard j'ai relancé un scan apres ces alertes, voici le log: http://www.cijoint.fr/cjlink.php?file=cj200906/cij6MjYKE3.txt
Il s'apelle Extra, et pas OTL par contre, voili voilou tu sais tout ! :)
A part ça, je me suis déconnecté depuis mon dernier post, et à ma reconnection, Avira a lancé d'autres alertes, mais sous d'autres noms: Dr/Delphi.gen, TR/Hacktool.tcpz.A et un autre: W32/Virut.gen (ce dernier ne me plait pas trop je dois avouer, j'ai cru avoir lu des détails pas tres reluisants a son sujet...)
A tout hasard j'ai relancé un scan apres ces alertes, voici le log: http://www.cijoint.fr/cjlink.php?file=cj200906/cij6MjYKE3.txt
Il s'apelle Extra, et pas OTL par contre, voili voilou tu sais tout ! :)
Re,
O4 - HKU\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd ()
Je ne garantis absolument rien sur la réaction de l'OS face à certains outils.
Je te conseille de faire au plus vite une sauvegarde de tes fichiers personnels.
Il y a un risque de File infector.
Donc aucun .exe, ni .scr, ni .htm ni .html dans la sauvegarde.
===========
On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.
Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.
O4 - HKU\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd ()
Je ne garantis absolument rien sur la réaction de l'OS face à certains outils.
Je te conseille de faire au plus vite une sauvegarde de tes fichiers personnels.
Il y a un risque de File infector.
Donc aucun .exe, ni .scr, ni .htm ni .html dans la sauvegarde.
===========
On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.
Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.
Voilà c'est fait !
Bon, mon clavier a rendu l'âme entre temps, je ne sais pas si c'est dû aux virus etc. ou juste une simple coincidence mais bon, ca m'aura donné l'occasion de ressortir mon ancien clavier :)
Bref, voici le log: http://www.cijoint.fr/cjlink.php?file=cj200906/cijXOQoIym.txt
Deux petits mots cependant, la première fois que j'ai lancé Combofix, ma connection internet plantait, et je n'avais pas installé la console de récupération Microsoft.
Ensuite apres le premier reboot du premier scan, ma connection remarchait, du coup j'ai pu l'installer rapidement et relancer un second scan. Le log qui est en lien est celui du second scan, le premier s'est fait écraser et je n'ai pas pu le récupérer :(
En tous cas, dénouement heureux ou pas, je te remercie pour le coup de pouce, vraiment :) Si un jour je peux te rendre la pareil ... xD
Bon, mon clavier a rendu l'âme entre temps, je ne sais pas si c'est dû aux virus etc. ou juste une simple coincidence mais bon, ca m'aura donné l'occasion de ressortir mon ancien clavier :)
Bref, voici le log: http://www.cijoint.fr/cjlink.php?file=cj200906/cijXOQoIym.txt
Deux petits mots cependant, la première fois que j'ai lancé Combofix, ma connection internet plantait, et je n'avais pas installé la console de récupération Microsoft.
Ensuite apres le premier reboot du premier scan, ma connection remarchait, du coup j'ai pu l'installer rapidement et relancer un second scan. Le log qui est en lien est celui du second scan, le premier s'est fait écraser et je n'ai pas pu le récupérer :(
En tous cas, dénouement heureux ou pas, je te remercie pour le coup de pouce, vraiment :) Si un jour je peux te rendre la pareil ... xD
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Edit: A la suite du scan de Combofix, j'ai lancé Avira, il me trouve toujours une infection du troyen TR/hacktool.tcpz.A
L'un est dans la quarantaine de Combofix (Qoobox si je ne me trompe pas), donc pas de prb j'imagine, les deux autres par contre sont dans D:/windows/system/drivers/sysdrv32.sys et dans d:/system volume information/restore/un truc trop long a tapper :)
Pour Qoobox et le system restore, j'imagine que c'est normal, pour le windows/system/drivers, peut etre moins à priori.
L'un est dans la quarantaine de Combofix (Qoobox si je ne me trompe pas), donc pas de prb j'imagine, les deux autres par contre sont dans D:/windows/system/drivers/sysdrv32.sys et dans d:/system volume information/restore/un truc trop long a tapper :)
Pour Qoobox et le system restore, j'imagine que c'est normal, pour le windows/system/drivers, peut etre moins à priori.
Re,
Copie ou imprime les instructions avant
Déconnecte toi d'internet et ferme toutes tes applications.
Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
Driver::
sysdrv32
amd64si
Rootkit::
d:\windows\system32\drivers\sysdrv32.sys
d:\windows\no6.exe
d:\windows\system32\no6.exe
d:\windows\system32\62.scr
d:\windows\system32\70.scr
d:\windows\system32\drivers\amd64si.sys
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Data Serivce"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"d:\\WINDOWS\\System32\\62.scr"=-
Enregistre ce fichier sous le nom CFscript
Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe
Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Réactive ton parefeu, ton antivirus, la garde de ton antispyware
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.
===============
On va contrôler cette histoire de virut.
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier : d:\windows\system32\drivers\tcpip.sys
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant
Tu recommences avec :
d:\windows\system32\ntoskrnl.exe
d:\windows\explorer.exe
d:\windows\system32\sfcfiles.dll
============
Tu refais tourner OTL et tu postes le rapport par un lien cijoint.
Copie ou imprime les instructions avant
Déconnecte toi d'internet et ferme toutes tes applications.
Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
Driver::
sysdrv32
amd64si
Rootkit::
d:\windows\system32\drivers\sysdrv32.sys
d:\windows\no6.exe
d:\windows\system32\no6.exe
d:\windows\system32\62.scr
d:\windows\system32\70.scr
d:\windows\system32\drivers\amd64si.sys
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Data Serivce"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"d:\\WINDOWS\\System32\\62.scr"=-
Enregistre ce fichier sous le nom CFscript
Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe
Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Réactive ton parefeu, ton antivirus, la garde de ton antispyware
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.
===============
On va contrôler cette histoire de virut.
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier : d:\windows\system32\drivers\tcpip.sys
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant
Tu recommences avec :
d:\windows\system32\ntoskrnl.exe
d:\windows\explorer.exe
d:\windows\system32\sfcfiles.dll
============
Tu refais tourner OTL et tu postes le rapport par un lien cijoint.
Re, désolé du retard de cette réponse, mais mon OS a définitivement rendu l'âme. En fait internet plantait avant que je ne puisse finir les scans sur virustotal, ensuite les alertes d'antivir ont recommencé à spammer, avec de nouveaux venus à chaque fois etc... :/
Du coup, j'ai formaté mon disque système et j'ai tout réinstallé. Une fois la poussière retombée, j'ai mis à jour Avira, et fais un scan complet, plus rien à priori. Dans le détail j'ai deux petits disques durs, un "système" et un pour le stockage. J'ai effacé la partition du premier, que j'ai également formaté, et réinstallé windows dessus.
Pour le moment tout à l'air d'aller pour le mieux dans le meilleur des mondes mais, j'aimerais savoir par contre s'il y a une manip à réaliser pour être définitivement sûr que la tempête est derrière (scan et autres) ? Et aussi, vu que je suis loin d'être au fait sur les virus/worms/malewares/troyens etc. est ce qu'il y a d'autres mesures à prendre en réaction ? (Dans le doute, j'ai déjà changé mes mots de pass à l'aide d'un autre ordinateur, et ne me suis pas reconnecté avec l'ancien pour le moment. Parfois, ça aide d'être en pleine période de concours xD)
En tous cas merci beaucoup pour ton aide ! Je pourrai suivre ce topic sans problème à partir de maintenant :) Bonne journée à toi ! (à vous avec ^^Marie^^)
Du coup, j'ai formaté mon disque système et j'ai tout réinstallé. Une fois la poussière retombée, j'ai mis à jour Avira, et fais un scan complet, plus rien à priori. Dans le détail j'ai deux petits disques durs, un "système" et un pour le stockage. J'ai effacé la partition du premier, que j'ai également formaté, et réinstallé windows dessus.
Pour le moment tout à l'air d'aller pour le mieux dans le meilleur des mondes mais, j'aimerais savoir par contre s'il y a une manip à réaliser pour être définitivement sûr que la tempête est derrière (scan et autres) ? Et aussi, vu que je suis loin d'être au fait sur les virus/worms/malewares/troyens etc. est ce qu'il y a d'autres mesures à prendre en réaction ? (Dans le doute, j'ai déjà changé mes mots de pass à l'aide d'un autre ordinateur, et ne me suis pas reconnecté avec l'ancien pour le moment. Parfois, ça aide d'être en pleine période de concours xD)
En tous cas merci beaucoup pour ton aide ! Je pourrai suivre ce topic sans problème à partir de maintenant :) Bonne journée à toi ! (à vous avec ^^Marie^^)
Forcément il suffisait que je le dise pour que ma ligne téléphone soit en dérangement >.<"
Bref, voilà le scan d'OTL
http://www.cijoint.fr/cjlink.php?file=cj200906/cijWnAvAMc.txt
Par contre il fait une erreur pendant la procédure, le nom de l'erreur est : "Access violation at address 00200069. Write of address 015AB270."
Donc je ne sais pas ce que ça vaut du coup :/
A part ça, Avira m'a refait une alerte, mais juste une, et plus rien depuis deux jours :)
Encore merci pour le coup de patte ! :)
Bref, voilà le scan d'OTL
http://www.cijoint.fr/cjlink.php?file=cj200906/cijWnAvAMc.txt
Par contre il fait une erreur pendant la procédure, le nom de l'erreur est : "Access violation at address 00200069. Write of address 015AB270."
Donc je ne sais pas ce que ça vaut du coup :/
A part ça, Avira m'a refait une alerte, mais juste une, et plus rien depuis deux jours :)
Encore merci pour le coup de patte ! :)
