virus win32/cryptor Fermé

Question

Bonjour, après avoir lu tous les sujets sur ce virus, je ne sais toujours pas comme le supprimer
J'ai AVG qui me trouve WIN32/cryptor:
     nom du objet c:\WINDOWS\system32\svchost.exe(1496)
     typed'objet:processus
     type de SDK: Core

      mais aussi WIN32\cryptor:
    nom de objet:\?\globalroot\systemroot\system32\UACnqvnmsnvpb.dll
    la suite est identique que le premier

J'ai esayer de le supprimer avec AVG ou de le mettre en quarentaine mais il me dit que le fichier infecté se trouve sur un disque non local???

j'ai essayer aussi avec ADAWARE, il me trouve bien quelque chose mais il me dis qu'il ne peut pas le supprimer,et avec  Malwarebytes' Anti-Malware mais je n'arrivais pas à le lancer,j'ai lu que certain logiciel malveillant pouvait empécher le lancement les logiciels qui peuvent les supprimer,j'ai donc changé le nom en point exe et la le logiciel démarre mais ne se termine pas.

Pouver vous m'aider 
merci

sKe69 · Answer

Salut,


bien tenté pour Malwarebytes , mais cela n'a suffisant parfoit ... ;)


infection Tibs donc ... voir plus ...


/!\ N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
Si tu as un quelconque prb n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ) .
Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .



fait ceci pour avoir un diagnosique poussé du PC dans un premier temps :


Télécharge ZHPDiag de Nicolas Coolman sur ton bureau :

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


!! déconnecte toi et ferme toutes tes applications en cours !! 

> double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir un raccourci ) . 

> Lance ZHPDiag depuis le raccouci du bureau .

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
( celui avec le tournevis )

Une liste apparait dans l'encadré principal > clique en bas sur le bouton " Tous " et décoche la ligne 061 ( important ! ) .

> Puis clique sur le bouton de "la loupe" pour lancer le scan .


Laisses travailler l'outil ...


> Une fois terminé , le rapport s'affiche : clique sur bouton "appareil photo" pour sauvegarder le rapport obtenu ...

Enregistres bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

( Sinon rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )

Puis ferme le programme ...


> rends toi ensuite sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....

chris159 · Answer

meric de m'avoir répondu 
j'ai fais tout ce que tu me dis mais cijoint.fr ne fonctionne pas comment dois je faire

sKe69 · Answer

re,

Cijoint merdouille effectivement ...


utilile son cousin > https://www.cjoint.com/


fait moi parvenir le lien d'uplaod obtenu ......

chris159 · Answer

voici le lien
https://www.cjoint.com/?iunRyub5kI

J'ai remarqué que ma cession mais bcoup de temps à s'ouvrir mais aussi dès que je fais trop de chose sur le bureau le pc bug (je n'ai plus accès à rien sur le bureau)
voila

sKe69 · Answer

re,

tu as 2 pare feu ! ... Sygate ( ou peut-être des restes ) et Zone Alarm !... gros conflit ! ....

vire proprement Sygate dans un premier temps !



puis fait ceci :


1- Utilsation de l'outil ZHPFix :

Rends dans ce répertoire > C:\Program files\ZHPDiag 

* Là tu double-cliques sur "ZHPFix.exe" .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal ( qui est vierge ),  copie/colle tout le texte qui se trouve sur cette page ( et rien d'autre ! ) :

> https://www.cjoint.com/?iun5HKUBiR


Vérifie bien que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien ! 

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )
 
 Pense à réactiver tes défenses !... 


==========================


2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cjoint ) pour analyse et attends la suite ...

chris159 · Answer

je vais le faire 
je sais que j'ai des restes de sygate mais je n'arrive pas à les enlever
je ne sais pas si cela a un raport avec le problème actuelle mais je n'arrive pas a supprimer Malwarebytes

chris159 · Answer

voilà je viens de faire ce que tu m'as demandé

https://www.cjoint.com/?ius5MmyN0b

sKe69 · Answer

re,


non , tu n'as pas fait ce que je t'ai demandé ... donc tu reprends la manipe de ZHPFix ici > https://forums.commentcamarche.net/forum/affich-13967228-virus-win32-cryptor#5


donc j'attends : 
1 > le rapport de ZHPfix 
et  2 > un nouveau rapport ZHPdiag .... ^^'

chris159 · Answer

Je pense que je l'ai fait correctement
voici le rapport ZHPfix   https://www.cjoint.com/?iuucrGWWfr
et le rapport ZHPdiag   https://www.cjoint.com/?iuudsDihx4

sKe69 · Answer

c'est mieux ... ^^


ZHPFix ne t'a pas demandé de redémarrer le PC ? ...


1- si c'est le cas et que te ne la pas fait , fait le stp !

ensuite , après avoir redémarrer le PC , refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cjoint ) pour analyse et attends la suite ... 



2- si tu as bien redémarré le PC comme il te l'a demandé et fait ZHPdiag ensuite .... fais directement ce qui suit :



Télécharge ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !): 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clique droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape CFix et valide . 

- le renommage au téléchargement est primordial pour contrer l'infection, sinon l'outil sera inutilisable - 


--------------------------------- [ ! ATTENTION ! ] ------------------------------------------
!! Déconnecte toi,ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe : 
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après  !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
--------------------------------------------------------------------------------------------

Ensuite :
> Double-clique sur l'icône "Combofix.exe" pour lancer l'outil .
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


-- Pour  XP, l' installation de la Console de Récupération  sera demandé :
* Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).
image > http://img.photobucket.com/albums/v706/ried7/RcAuto1.gif
*Reconnecte toi avant de cliquer sur "yes", et uniquement le temps de cette manipulation. 
*Une fois la console installée,
image > http://img.photobucket.com/albums/v706/ried7/whatnext.png  
re-déconnecte toi avant de cliquer sur "yes" pour lancer le scan -- 


Notes importantes : 
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'annonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarrer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un moment  : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... ) 

Le rapport sera crée ici: C:\Combofix.txt 

Réactive bien tes défenses

 

> Copie/colle dans ta prochaine réponse le rapport Combofix pour analyse ...

chris159 · Answer

non il ne me l'a pas demandé 
je vais donc le faire et te renvoyer le bilan et il faudra me dire si je dois faire tout ce que tu me dis de faire après

chris159 · Answer

Bonjour,
voici le rapport PC redémarré
 https://www.cjoint.com/?ivknf4wYMT

sKe69 · Answer

Salut,


bon ... le RootKit a résisté ...


donc fait la manipe de ComboFix que je t'ai donné ici > https://forums.commentcamarche.net/forum/affich-13967228-virus-win32-cryptor#11


copie/colle le rapport obtenu ....

chris159 · Answer

(par sUBs) quesque cela vaux dire

chris159 · Answer

voilà je l'ai fais
rapport de zhpdiag     https://www.cjoint.com/?ivmzK2Z5vZ
et rapport de combofix https://www.cjoint.com/?ivmBN0NsDs

Pour info le rapport zhpdiag été fait après un redémarrage pour réactiver les protection pc
enfin lors du redémarrage avg a redétecter cryptor mais il a réussi d'après ce qu'il me dit à le mettre en quarantaine mais je ne sais pas si c'est bon 
voilà

sKe69 · Answer

tient ... très interessant ! Une varainte de Tibs que je ne connaissait pas ... ^^


Edit :
tu n'as pas fait l'installe de la console de récupération comme demandé !!! A la prochaine utilisation , tu le feras !!! c'est IMPERATIF !


il y a de la résistance ...


fais ceci :


1-Créer un doc texte sur ton bureau : 
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" . 

* Rends toi sur cette page > https://www.cjoint.com/?ivnk7Qtqyv

* copie/colle tout le texte qui s'y trouve ( et rien d'autre!) dans le fichier texte que tu viens de créer : 

* Pour sauvegarder, va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : 
CFScript puis valide ... ( sauvegarde le bien sur le bureau )
 

2-Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après )  !! 

--->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe . 

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide. 

Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!) 

!! Ne touches à rien tant que le scan n'est pas terminé !! 

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 


Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...


( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

chris159 · Answer

il ne me l'a pas demander

chris159 · Answer

comment je fais pour créer la console de récupération 
enfin dans le 1 je ne comprend pas ce ue je dois faire et quand

chris159 · Answer

oui mais la fenetre donc tu me parle n'est pas apparu
mais j'ai télécharger sur le bureau le la console de réccupération de windows peut être cela influe sur le logiciel

chris159 · Answer

j'ai mis la console 
voici le rapport  https://www.cjoint.com/?ivoXWIhbv5
et l'autre rapport https://www.cjoint.com/?ivo2iVZvXi

sKe69 · Answer

impec .... ^^


on continue :



1- Télécharge CCleaner :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ou https://www.pcastuces.com/logitheque/ccleaner.htm 
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre . 
Lors de l'installation: 
-choisis bien "français" en langue . 
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières. 

Un tuto ( aide ): 
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 


---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé : 
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage- 
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs- 
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) . 

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... ) 


============================


2- on va pouvoir utiliser Malwarebytes :

Télécharges MalwareByte's : 
ici https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
ou ici : http://www.malwarebytes.org/mbam.php
 
* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour . 

(NB : S'il te manque "COMCTL32.OCX" lors de l'instale, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )

* Potasse le tuto pour te familiariser avec le prg : 
https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnecte toi et ferme toutes applications en cours ! 

* Lance Malwarebyte's .

Fais un examen dit "complet" ( sélectionne bien tous tes disks avant le scan ! ).

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). 
--> à la fin tu cliques sur "résultat" . 
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)  pour analyse ...

chris159 · Answer

voici  le rapport https://www.cjoint.com/?ivphPPxIXO
et un autre avec la console récup https://www.cjoint.com/?ivpinXtjLu

chris159 · Answer

j'ai deja ccleaner quand je fais clique droit dans la corbeille c'est le même

chris159 · Answer

voici les rapport https://www.cjoint.com/?ivqXt6zN2V

https://www.cjoint.com/?ivqXZtb63F

sKe69 · Answer

bon ....


dis moi comment va le PC ... du mieux ?


dans l'ordre :



1- supprime tout ce qui se trouve dans la quarantaine de malwarebytes .


==========================


2- Télécharge GenProc  (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
http://www.genproc.com/GenProc.exe 

!! ferme tes applications en cours !!


* double-clique sur GenProc.exe pour lancer le scan et laisse faire ...

* A la question "faites vous aidez sur un forum..." > clique sur " oui " .

-> poste le contenu du rapport qui s'ouvre ... 


Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
 
IMPORTANT : poste le rapport et ne fais rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .

chris159 · Answer

voici le rapport https://www.cjoint.com/?ivrzgAbBHK

sinon moi je ne comprend pas grand chose, je pense qu'il n y plas de virus....

chris159 · Answer

voici un autre rapport zhpdiag https://www.cjoint.com/?ivrI7AEMT4

sKe69 · Answer

Bien ...


fais ce qui suit dans l'ordre ( si le dernier rapport est clean , on pourra finaliser ) :


( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )


1- Utilsation de l'outil ZHPFix :

Rends dans ce répertoire > C:\Program files\ZHPDiag 

* Là tu double-cliques sur "ZHPFix.exe" .

* Une fois l'outil ZHPFix ouvert :

A- !! ferme tes applications en cours !!

> Clique sur le bouton " Nettoyeur de tools " ( le grand A rouge ) . Des lignes apparaissent alors dans l'encadré principal .

> Là, clique succéssivement sur les boutons en bas : "OK" , "Tous" puis enfin "Nettoyer" . 


laisse travailler l'outil ... une fois terminé , un nouveau rapport apparait dans l'encadré principal .

Copie/colle le contenu de ce rapport pour analyse ...



B- Clique sur le bouton en haut à droite " Vider la quarantaine " ( la poubelle vide ). 

Au message de confirmation , clique sur "Ok" .


Puis ferme ZHPFix ...


======================================

2- Refais un coup de CCleaner ( registre compris ) .

======================================

3- Télécharge et installe le logiciel HijackThis : 

ici https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation . 
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge . 
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : 
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .


( ne fais pas de scan pour le moment ) 

======================================

4- Important :
Purge de la restauration système 
*Désactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK 
---> Redémarre ton PC ...

*Réactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK 
--->Redémarre ton PC ...

( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).


======================================

5- Fais ce scan en ligne pour vérifier :

( ne rien faire d'autre avec le PC durant le scan ! )

Fais un scan en ligne avec " Panda " :

https://www.pandasecurity.com/?ref=www.pandasoftware.com/products/activescan 

tuto : 
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId237368 


poste moi le rapport obtenu pour analyse ...

chris159 · Answer

le can de HijackThis je le fais quand

chris159 · Answer

voici le rapport  https://www.cjoint.com/?ivtKLFUaBU
et j'ai vider la quarantaine

chris159 · Answer

bonjour
j'ai fait panda et il a trouvé des cookies et rien d'autre

sKe69 · Answer

re,


poste moi le rapport stp ! ... ^^


ensuite on pourra finaliser ...

chris159 · Answer

voici le rapport

https://www.cjoint.com/?iwvsEmrWx2

sKe69 · Answer

Salut,

et il a trouvé des cookies et rien d'autre

non , pas tout à fait ! ... ^^



fais ceci :


Télécharge OTM (de Old_Timer) sur ton Bureau. 

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

! Déconnecte toi et ferme toutes tes applications en cours !
 
Double clique sur "OTM.exe" pour ouvrir le prg . 
Puis copie ce qui se trouve en citation ci-dessous,
 

:Files
D:\program files\pack office\Gravure\Crack Clone Cd 5.0.4.2(1)\Crack Clone Cd 5.0.4.2.exe

:Commands
[purity]
[emptytemp]
[Reboot]


et colle le dans le cadre de gauche de OTM : 
Paste Instructions for items to be moved.
(ne touche à rien d'autre !) 
 
-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ... 

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"  
( " xxxx2009_xxxxxx.log "  où les "x" correspondent au jour et à l'heure de l'utilisation  ).

Virus win32/cryptor

34 réponses

Discussions similaires