virus TR/Crypt.XPACK.GenRésolu/Fermé

Question

Bonjour,
 
Je suis depuis quelques jours infecté par le virus TR/Crypt.XPACK.Gen. J'ai fait quelques recherches google mais il semble y avoir nombre de solutions. Je vous mets le résultat de hijack this, j'espère que vous pourrez m'aider.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:02:34, on 31/10/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\NDAS\System
dassvc.exe
C:\Program Files\Dell Support Center\bin\sprtsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\OA012Mon.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\WSED\WSED.exe
C:\Program Files\Battery Meter\BTMeter.exe
C:\Program Files\CapsLKNotify\CapsLKNotify.exe
C:\Program Files\Dell Support Center\bin\sprtcmd.exe
C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Geeum\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\Program Files\NDAS\System
dasmgmt.exe
C:\Program Files\Privoxy\privoxy.exe
C:\DOCUME~1\Geeum\LOCALS~1\Temp\b.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Geeum\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Geeum\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Geeum\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Geeum\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Geeum\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Geeum\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Geeum\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Geeum\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Geeum\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/en-gb?cobrand=dell.msn.com&OCID=DELLDHP&pc=MDDS
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://outlook.live.com/owa/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/en-gb?cobrand=dell.msn.com&OCID=DELLDHP&pc=MDDS
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = https://www.msn.com/en-gb?cobrand=dell.msn.com&OCID=DELLDHP&pc=MDDS
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.msn.com/en-gb?cobrand=dell.msn.com&OCID=DELLDHP&pc=MDDS
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8118
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [OA012Mon] C:\WINDOWS\OA012Mon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [WSED] C:\Program Files\WSED\WSED.exe
O4 - HKLM\..\Run: [BTMeter] C:\Program Files\Battery Meter\BTMeter.exe
O4 - HKLM\..\Run: [CapsLKNotify] C:\Program Files\CapsLKNotify\CapsLKNotify.exe
O4 - HKLM\..\Run: [dellsupportcenter] "C:\Program Files\Dell Support Center\bin\sprtcmd.exe" /P dellsupportcenter
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [BEWINTERNET-FR-DMGP-V2SessionManager] "C:\Program Files\Orange\IEWInternet\SessionManager\SessionManager.exe"
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Geeum\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [PopRock] C:\DOCUME~1\Geeum\LOCALS~1\Temp\b.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: NDAS Device Management.lnk = C:\Program Files\NDAS\System
dasmgmt.exe
O4 - Global Startup: Privoxy.lnk = C:\Program Files\Privoxy\privoxy.exe
O8 - Extra context menu item: Ajouter la cible du lien à un fichier PDF existant - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Ajouter à un fichier PDF existant - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir au format Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien au format Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O20 - Winlogon Notify: GoToAssist - C:\Program Files\Citrix\GoToAssist\514\G2AWinLogon.dll
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Desktop Manager 5.9.909.30391 (GoogleDesktopManager-093009-130223) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: GoToAssist - Citrix Online, a division of Citrix Systems, Inc. - C:\Program Files\Citrix\GoToAssist\514\g2aservice.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NDAS Service (ndassvc) - XIMETA, Inc. - C:\Program Files\NDAS\System
dassvc.exe
O23 - Service: SupportSoft Sprocket Service (DellSupportCenter) (sprtsvc_DellSupportCenter) - SupportSoft, Inc. - C:\Program Files\Dell Support Center\bin\sprtsvc.exe

Xplode · Answer

Salut, il y a des traces d'infections mais hijackthis n'étant pas assez complet, je vais te demander un autre scan :

-+-+-+-> ZHPDiag <-+-+-+-


[x] Télécharge ZHPDiag ( de Nicolas coolman ).

[x] Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

[x] Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau

[x] Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

[x] Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

[x] Rend toi sur www.cjoint.com

[x] Clique sur " Parcourir " dans la partie " Joindre un fichier[...] "

[x] Séléctionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

[x] Clique ensuite sur " Créer le lien cjoint " et copie/colle le dans ton prochain message

Geeum · Answer

Voilà:

https://www.cjoint.com/?kFqyvD0taH

Merci pour la réponse rapide en tout cas !

Geeum

Xplode · Answer

Bien, on va commencer par ceci :

-+-+-+-> USBfix <-+-+-+-


[x] Télécharge USBfix à cette adresse : https://www.androidworld.fr/

[x] Un tutoriel est disponible ici : https://www.malekal.com/usbfix-supprimer-virus-usb/

[x] Installe le

[x] Branche tout tes médias amovibles ( clés USB, DD externe )

[x] Lance USBfix en cliquant sur l'icône qui est sur ton bureau ( Clique droit -> Executer en tant qu'administrateur pour vista )

[x] Choisis l'option F ( pour français ) et valide en appuyant sur entrée.

[x] Au menu principal, choisi l'option 2

[x] Laisse l'outil travailler puis poste le rapport dans ton prochain message

Geeum · Answer

Bonjour, voici le lien:

https://www.cjoint.com/?kFspJ1XHLv

En revanche le programme a créé un zip sur mon bureau ... qu'en faire ?

Geeum

Xplode · Answer

Tu peux le supprimer.

Désinstalle USBfix en le lancant puis en choisissant l'option 5.

Fais maintenant ceci :

-+-+-+-+-> ComboFix <-+-+-+-


[x] Télécharge ComboFix ( de sUBs ) à cette adresse.

[x] /!\ Fermez toutes les fenêtres de programme ouvertes /!\

[x] /!\ Désactivez toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\

[x] Double clique sur " Combofix.exe "

[x] Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le

[x] Combofix va maintenant déconnecter ton PC d'internet

[x] Pendant le scan, ne touche à rien ( souris, clavier )

[x] A la fin du scan, le rapport s'ouvrira automatiquement, copie/colle le dans ton prochain message.

[o] Nb : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt

Geeum · Answer

J'ai un probleme: j'ai suivi là procédure, mon pc est en train de redémarrer mais là il bloque sur 'windows os shutting down' depuis 30 min.
Que faire?

Geeum · Answer

Up! Toujours bloqué à l'écran 'windows is shutting down'. D'habitude j'aurais éteint electriquement mais là j'ose pas

Xplode · Answer

éteind le via démarrer -> arrêter

puis poste le rapport

Geeum · Answer

Je ne peux pas puisque j'ai l'écran bleu qui dit que Windows est en train de s'arrêter. Donc soit je continue d'attendre soit j'appuie sur off...

Xplode · Answer

Vu le temps que tu attends, appuie sur off. J'espère que tu as bien installé la console de récupération comme demandé au cas où.

Geeum · Answer

OK c'est fait. J'avais bien installé la console.
Le log se trouve à:

https://www.cjoint.com/?kFwSVepLei

Xplode · Answer

Bien, fais maintenant ceci :

-+-+-+-> Malwarebyte's Anti-Malware <-+-+-+-


[x] Télécharge Malwarebyte's anti-malware (MBAM) à cette adresse : http://www.malwarebytes.org/mbam/program/mbam-setup.exe

[x] Installe le.

[x] Met le à jour.

[x] Lance un scan complet !

[x] Coche bien tout les éléments trouvés et supprime les !

[x] Un tutoriel pour son utilisation est disponible ici : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

[x] Suis les indications données sur le lien précédent puis copie/colle le rapport généré dans ton prochain message

Geeum · Answer

OK le scan est en cours. A noter que pendant le scan antivir a trouvé un autre virus (un alias du premier ?): TR/FraudPack.yak
Autre chose: j'ai laissé branchés clé usb et DD externe et les ai fait scanner, je ne sais pas s'il fallait le faire ...

Xplode · Answer

Pas de soucis, tu peux enlever tes clés USB puisqu'elles ont été désinfecté préalablement. Si tu les laisse, ce n'est pas non plus grave.

On verra le résultat dans le rapport .

Geeum · Answer

Voilà. Il n'a rien trouvé (?)

https://www.cjoint.com/?lbqXxeoLgH

Xplode · Answer

Ok, fais maintenant ceci :

-+-+-+-> Scan en ligne Bitdefender <-+-+-+-


[x] Suis le tutoriel disponible à cette adresse ( en image ) :

https://www.commentcamarche.net/faq/8872-scanner-en-ligne-avec-bitdefender

Geeum · Answer

C'est en cours ... mais le temps restant estimé est de 20h ...

Xplode · Answer

Ca doit sûrement être un bug. Si ca dure vraiment trop longtemps tu annules puis tu fais un nouveau ZHPDiag

Geeum · Answer

C'est bon c'est retombé à 3h. Est-ce que je peux faire un ZHPDiag en parallèle ?

Xplode · Answer

Attend plutôt que le scan soit terminé

Geeum · Answer

OK, le temps restant s'est stabilisé à 1h45. Je posterai dès que c'est fini.

Geeum · Answer

Voilà le résultat.

https://www.cjoint.com/?lbs1b4GbjO

Geeum · Answer

Alors, suis-je "guéri" ?

Xplode · Answer

Refais un ZHPDiag on va vérifier ça.

Geeum · Answer

Et voilà !

https://www.cjoint.com/?lbxAL7asoq

Merci

Xplode · Answer

-+-+-+-> ZHPfix <-+-+-+- [x] Relance ZHPDiag, fais un scan puis cette fois-ci cliques sur l'icone en forme d'écusson vert " ZHPFix ". [x] ZHPFix se lancera, clique maintenant sur le " H " bleu ( coller les lignes helper ) puis copie/colle ce qui se trouve à ce lien : https://www.cjoint.com/?lbxFLO5YEi [x] Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ". [x] Copie/Colle le rapport à l'écran dans ton prochain message ============================= -+-+-+-> RSIT <-+-+-+- [x] Télécharge Random's System Information Tool à cette adresse : http://images.malwareremoval.com/random/RSIT.exe [x] Double clique sur " RSIT.exe ". [x] Clique sur " Continue ". [x] Si hijackthis n'est pas présent il sera automatiquement téléchargé et tu devras accepter la license. [x] Une fois l'analyse finie, deux fichiers ( info.txt & log.txt ) s'ouvriront. [x] Rend toi sur www.cjoint.com [x] Clique sur " Parcourir " dans la partie " Joindre un fichier[...] " [x] Séléctionne le rapport info.txt qui se trouve sur ton bureau [x] Clique ensuite sur " Créer le lien cjoint " [x] Fais de même pour le log.txt [x] Copie/colle ensuite les deux liens dans ton prochain message [x] Note : si jamais tu as fermé les rapports sans faire attention, ils sont sous C:\rsit

Geeum · Answer

Salut, alors voici les 3 rapports:

- le rapport suite au ZHPFix: https://www.cjoint.com/?lbxMX1fwPS
- info.txt: https://www.cjoint.com/?lbxOU4ADTP
- log.txt: https://www.cjoint.com/?lbxPtmIA1z

Xplode · Answer

Désinstaller combofix :

Clique sur démarrer -> Executer et tapes combofix /u
Valide en cliquant sur " Ok ".

-+-+-+-> RootRepeal <-+-+-+-


[x] Télécharge RootRepeal

[x] Décompresse le sur ton bureau

[x] Double clique sur rootrepeal.exe ( Clique-droit -> Executer en tant qu'administrateur ( vista ) )

[x] Clique sur l'onglet " Report " puis sur " Scan "

[x] Coche toutes les cases ( sauf SSDT ) dans la fenêtre qui s'ouvre puis sur " Ok "

[x] A la deuxième fenêtre, séléctionne ta partition système ( en général C: )

[x] Laisse le scan s'opérer, puis copie/colle le rapport qui s'ouvrira peut de temps après le scan dans ta prochaine réponse.

Geeum · Answer

C'est en cours ... a noter que pour désinstaller combofix j'ai du stopper avira antivir momentanément.

Geeum · Answer

Et voilà: https://www.cjoint.com/?lcaso5L3kP

Xplode · Answer

-+-+-+-> GMER <-+-+-+-


[x] Télécharge GMER à partir de ce lien : http://www2.gmer.net/gmer.zip

[x] Dézippe le sur ton bureau, puis lance GMER en double cliquant dessus ( Clic droit -> Executer en tant qu'admin sur vista )

[x] Désactive ton antivirus le temps du scan

[x] Dans l'onglet " Rootkit " , laisse toutes les cases cochées à droite.

[x] Clique sur " Scan "

[x] Tu feras clic droit -> delete ... sur chaque ligne rouges !

[x] Lorsque le scan est terminé, clique sur " Copy " , ouvre le bloc note et clique sur Edition -> Coller

[x] Enregistre le fichier sur ton bureau et copie/colle le contenu dans ton prochain message

Nb : Un tutoriel est disponible ici pour t'aider : https://www.malekal.com/tutorial-gmer/

Geeum · Answer

Bonjour, voici le résultat: https://www.cjoint.com/?lcjlrkRGFW

A noter qu'il n'y a aucune ligne rouge. Est-ce normal ?

merci

Geeum · Answer

Autre question: est-ce que je peux surfer sur le net en attendant ? Je n'ose pas trop ...

Xplode · Answer

Tu peux reposter un RSIT stp

Geeum · Answer

Voilà le fichier log: https://www.cjoint.com/?lcmtGxvQA7
Il n'y a pas eu de fichier info de créé (j'ai vérifié sur c:/rsit il y en a bien un mais il date d'hier)

Geeum

Xplode · Answer

-+-+-+-> Hijackthis <-+-+-+- [x] Lance hijackthis ( C:\Program Files\Trend Micro\Hijackthis.exe ) [x] Clique sur " None of the above, just start the program " puis sur " Scan " [x] Coche les lignes en gras ci dessous : R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local; O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') S3 mbr;mbr; \??\C:\DOCUME~1\Geeum\LOCALS~1\Temp\mbr.sys [] S3 a9chz304;a9chz304; C:\WINDOWS\system32\drivers\a9chz304.sys [] S3 atapi_2;atapi_2; \??\C:\WINDOWS\system32\drivers\atapi_2.sys [] S3 CLASSPNP_2;CLASSPNP_2; \??\C:\WINDOWS\system32\drivers\CLASSPNP_2.sys [] S3 disk_2;disk_2; \??\C:\WINDOWS\system32\drivers\disk_2.sys [] S3 kwrcqpod;kwrcqpod; \??\C:\DOCUME~1\Geeum\LOCALS~1\Temp\kwrcqpod.sys [] S3 sptd_2;sptd_2; \??\C:\WINDOWS\system32\drivers\sptd_2.sys [] [x] Clique ensuite sur " Fix checked " [x] Reposter ensuite un log hijackthis en le relançant puis en cliquant sur Do a system scan and save a logfile

Geeum · Answer

J'ai coché les 7 premières lignes demandées, en revanche je n'ai aucune ligne qui commence par S3 ...
Je fais quand même un 'fix checked' ? (voir https://www.cjoint.com/?lcniySLzlk

Xplode · Answer

Oui, fais quand même fix checked puis reposte un RSIT

Geeum · Answer

Voici le log hijack this (que j'ai lancé après le 'fix checked'): https://www.cjoint.com/?lcnXJr0Tr2
Et le log RSIT: https://www.cjoint.com/?lcnYb3fvw1

Geeum · Answer

Voici le log hijack this que j'ai fait après le 'fixed checked': https://www.cjoint.com/?lcnZJId4Hg
Et le log RSIT: https://www.cjoint.com/?lcnYb3fvw1

Xplode · Answer

-+-+-+-> OTMoveIt <-+-+-+-


[x] Télécharge OTMoveIt (de Old_Timer) à cette adresse : https://www.luanagames.com/index.fr.html sur ton Bureau.

[x] Double-clique sur OTMoveIt.exe.

[x] Assure toi que la case Unregister Dll's and Ocx's soit bien cochée.

[x] Copie le texte en gras ci dessous et colle le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved



:processes
explorer.exe

:services
a9chz304
atapi_2
CLASSPNP_2
disk_2
kwrcqpod
sptd_2
mbr

:files
C:\*.txt


:commands
[emptytemp]
[purity]
[start explorer]



[x] Clique sur MoveIt! pour lancer la suppression.

[x] Si OTMoveIt propose de redémarrer ton PC, accepte.

[x] Lorsque un résultat apparaît dans le cadre Results, clique sur Exit.

[x] Dans ta future réponse, envoie le rapport de OTMoveIt situé sous C:\_OTMoveIt\MovedFiles

Geeum · Answer

Voilà: https://www.cjoint.com/?lcomI548VB

Geeum · Answer

Au fait juste pour mon info:

- ce virus est-il grave ?
- y a-t-il beaucoup d'étapes à venir ? Car vu le nombre de diagnostics et opérations qu'on a déjà faits, je ne sais pas si c'est normal ou si c'est parcequ'il y a des complications ...

Xplode · Answer

Rien de bien grave, c'est juste parce qu'il y a des complications, j'aimerais virer les services cités plus haut.

Refais l'opération d'OtMoveIT seulement avec la partie " services " en mode sans échec

Geeum · Answer

Je ne suis pas sur d'avoir compris ce que signifie "avec la partie "services" en mode sans échec".
Ce que j'ai fait: j'ai redémarré en mode sans échec (F8) puis ai choisi 'safe mode with networking' (pour pouvoir me reconnecter ici et copier/coller la partie à mettre dans OtMoveIT)
Puis j'ai lancé le programme qui a redémarré, voici le log: https://www.cjoint.com/?lco60CAc3P

Geeum

Geeum · Answer

A noter que bizarrement je n'arrive plus à me logger sur commentcamarche depuis chrome ... mais j'y arrive depuis IE

Xplode · Answer

-+-+-+-+-> ComboFix <-+-+-+-


[x] Télécharge ComboFix ( de sUBs ) à cette adresse.

[x] /!\ Fermez toutes les fenêtres de programme ouvertes /!\

[x] /!\ Désactivez toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\

[x] Double clique sur " Combofix.exe "

[x] Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le

[x] Combofix va maintenant déconnecter ton PC d'internet

[x] Pendant le scan, ne touche à rien ( souris, clavier )

[x] A la fin du scan, le rapport s'ouvrira automatiquement, copie/colle le dans ton prochain message.

[o] Nb : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt

Geeum · Answer

Voici: https://www.cjoint.com/?lctB3jcCby

Geeum · Answer

Ca commence à faire beaucoup de logs ;)
En tout cas ce virus est récalcitrant ! A votre avis on est près du but ?

Geeum

Xplode · Answer

Y'a un truc louche, on va vérifier avec ça :

-+-+-+-> MBR <-+-+-+-


[x] Télécharge MBR sur ton bureau ( Important )

[x] Désactive toutes tes protections résidentes (Antivirus, Antispyware, Pare-Feu)

[x] Lance en en double cliquant sur mbr.exe ( clique droit -> executer en tant qu'administrateur ( vista ) )

[x] Laisse le scan s'opérer, puis copie/colle le rapport qui s'ouvrira dans ton prochain message

Geeum · Answer

Louche ? Inquiétant ...

J'ai lancé MBR, voici le log:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Xplode · Answer

C'est bon, j'avais un truc qui me turlupinait je voulais vérifier :)

Comment se porte le PC ?

Geeum · Answer

Ca a l'air d'aller ! En tout cas je n'ai pas eu de détection nouvelle. Est-ce qu'on a fini ?
Merci en tout cas!
Une question: j'ai maintenant plein d'utilitaires installés, est-ce que je peux tout supprimer ?
De plus, j'ai remarqué que certains paramètres ont changé (navigateur par défaut, écran de veille, ...) est-ce que je peux tout remettre ?

Sinon plus généralement, je me croyais à l'abri des virus, quel est le meilleur antispyware que je peux utiliser en plus de mon antivirus (avira antivir)

Encore merci
Geeum

Xplode · Answer

1 - Nettoyage : - Télécharge ATF-Cleaner - Suis le tutoriel disponible à cette adresse - Renouvelle l'opération régulièrement ----------------- -+-+-+-> Tools Cleaner <-+-+-+- [o] Afin de supprimer tout les logiciels qui ont été utilisés pour ta désinfection, [o] Télécharge ToolsCleaner sur ton bureau à cette adresse : https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/ [o] Double-clique sur « Toolscleaner.exe » [o] Clique sur "restauration" pour créer un point de restauration. [o] Puis clique sur « recherche » [o] Quand la recherche sera terminée, clique sur "suppression". [o] A la fin (il y aura des indications dans le cadre en-dessous), clique sur "quitter" et poste le rapport qui se trouve dans C:\Tcleaner.txt -+-+-+-> Purger la restauration système <-+-+-+- - Lors d'une infection, il est important de purger la restauration système car des fichiers infectés risquent de s'y trouver, et lorsque tu effectueras une restauration système, le PC sera de nouveau infecté. - Nous allons purger la restauration du système : XP : https://support.microsoft.com/en-us/help/310405 Vista : https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista ================================================================= -+-+-+-> Sécuriser son PC <-+-+-+- I - Attitude sur le net - Sécuriser son PC, c'est tout d'abord être responsable. 1-> Les sites de cracks sont à bannir ( Plus d'infos ici : https://forum.malekal.com/viewtopic.php?f=33&t=893 ) 2-> Le P2P est également à éviter, source de nombreuses infections. ( Bagle par ex.) ( Plus d'infos ici : http://www.libellules.ch/... ) 3-> Il est aussi très important de faire toutes les mises à jour de windows, qui sont nécessaire pour corriger les failles. ( IE, Mises à jour critiques, Service Pack etc.. ) ( Pourquoi mettre à jour son système : http://forum.malekal.com/ftopic3563.php ) 4-> Adobe flash player, Java , et acrobat reader sont également à mettre à jour, pour éviter les exploits ( https://forum.malekal.com/viewtopic.php?f=33&t=13629 ) ============================================================================================ II - Logiciels de protection - Il faut ensuite avoir un bon antivirus, je recommande antivir qui est l'un de meilleur antivirus gratuit à ce jour ( et qui plus est en français ) : Pour le télécharger --> http://www.commentcamarche.net/telecharger/telecharger-55-antivir - Un bon pare-feu est aussi de rigueur, je recommande Comodo ( gratuit ) ou ZoneAlarm ( payant ) Comodo : https://www.commentcamarche.net/telecharger/securite/6291-comodo-firewall-free-windows/ ZoneAlarm : https://www.commentcamarche.net/telecharger/securite/24863-zonealarm/ - Pour complèter le tout, un anti-spyware est recommandé. Malwarebyte's : https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/ SpywareTerminator ( Protection en temps réel ) : https://www.commentcamarche.net/telecharger/securite/20947-spyware-terminator/ ============================================================================================ III - Liens utiles -> Malekal - Sécuriser son PC : https://www.malekal.com/proteger-pc-virus-pirates/ -> Malekal - Les spywares/vers/malwares sous windows : http://www.malekal.com/spywares.php -> Malekal - Les toolbars : https://forum.malekal.com/viewtopic.php?t=6173&start=

Geeum · Answer

OK je pars en déplacement je ferai ça ce soir et posterai le rapport demandé.
Merci

Geeum

Geeum · Answer

Voici le rapport Tcleaner: https://www.cjoint.com/?ldsSEWZZH1

Geeum · Answer

2 choses: j'ai toujours plein de raccourcis sur mon bureau, certains qui pointent nulle part (ZHPDiag et Fix) d'autres qui ont un incone: combofix, OTMoveIT, Malware bytes ...

Pour en avoir le coeur net j'ai relancé un scan TCleaner, voici le rapport:

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Documents and Settings\Geeum\Desktop\ComboFix.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\Geeum\Desktop\ComboFix.exe: ERREUR DE SUPPRESSION !!

Xplode · Answer

Désinstalle combofix comme ceci :

Démarrer -> executer : combofix /u

puis valide par " entrée ".

Vérifie aussi dans ajout/suppression de programme qu'il ne reste aucun outil de désinfection, sinon, désinstalle les. Supprime aussi les raccourcis qui menent nul part.

Tu peux garder malwarebyte's qui est une bonne protection ( scan a passer 1x par mois environ )

N'oublie pas de mettre ton sujet en " résolu " si tu penses ne plus avoir de soucis ;)

@+

Geeum · Answer

OK, en tout cas merci !

Geeum

Virus TR/Crypt.XPACK.Gen

59 réponses

Discussions similaires

Newsletters