Userini corrompu par Crypt.ZPACK.Gen

Résolu/Fermé

broots_fr - 17 mai 2010 à 22:00
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 - 26 mai 2010 à 19:25

Bonjour,
antivir m'a détecté un trojan :

Dans le fichier 'F:\WINDOWS\system32\userini.exe'
un virus ou un programme indésirable 'TR/Crypt.ZPACK.Gen' [trojan] a été détecté.

J'ai fait tourner hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:52:56, on 17/05/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\system32\ZoneLabs\vsmon.exe
F:\WINDOWS\Explorer.EXE
F:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Program Files\Avira\AntiVir Desktop\sched.exe
F:\Program Files\Avira\AntiVir Desktop\avguard.exe
F:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
F:\Program Files\Java\jre6\bin\jqs.exe
F:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
F:\WINDOWS\system32\nvsvc32.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\system32\RUNDLL32.EXE
F:\WINDOWS\RTHDCPL.EXE
F:\WINDOWS\System32\svchost.exe
F:\Program Files\Nero\Nero 7\InCD\NBHGui.exe
F:\Program Files\Nero\Nero 7\InCD\InCD.exe
F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
F:\Program Files\Avira\AntiVir Desktop\avgnt.exe
F:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
F:\WINDOWS\system32\ctfmon.exe
F:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe
F:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
F:\Program Files\DAEMON Tools\daemon.exe
F:\Program Files\uTorrent\uTorrent.exe
F:\Program Files\eMule\emule.exe
F:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
F:\Program Files\Fichiers communs\Nikon\Monitor\NkMonitor.exe
F:\WINDOWS\VPro520.exe
F:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
F:\WINDOWS\system32\wbem\wmiapsrv.exe
F:\WINDOWS\system32\wuauclt.exe
F:\Program Files\Internet Explorer\IEXPLORE.EXE
F:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - F:\Program Files\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - F:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - F:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] F:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SecurDisc] F:\Program Files\Nero\Nero 7\InCD\NBHGui.exe
O4 - HKLM\..\Run: [InCD] F:\Program Files\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [userini] F:\WINDOWS\explorer.exe:userini.exe
O4 - HKLM\..\Run: [avgnt] "F:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LightScribe Control Panel] F:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "F:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "F:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [updateMgr] F:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0
O4 - HKCU\..\Run: [userini] F:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Run: [uTorrent] "F:\Program Files\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [eMuleAutoStart] F:\Program Files\eMule\emule.exe -AutoStart
O4 - HKLM\..\Policies\Explorer\Run: [userini] F:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Policies\Explorer\Run: [userini] F:\WINDOWS\explorer.exe:userini.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = F:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Nikon Monitor.lnk = F:\Program Files\Fichiers communs\Nikon\Monitor\NkMonitor.exe
O4 - Global Startup: VPro520.lnk = ?
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://F:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://F:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://F:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://F:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - F:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - F:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe
O16 - DPF: Garmin Communicator Plug-In - https://my.garmin.com/mygarmin/m/GarminAxControl.CAB
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.3.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {78ABDC59-D8E7-44D3-9A76-9A0918C52B4A} (DLoader Class) - http://dl.uc.sina.com/cab/downloader.cab
O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-2.0.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - F:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - F:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - F:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - F:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - F:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - F:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - F:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - F:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia - F:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - F:\WINDOWS\system32\ZoneLabs\vsmon.exe

A voir également:

Userini corrompu par Crypt.ZPACK.Gen
Reparer fichier rar corrompu gratuit - Télécharger - Compression & Décompression
Actual RAR Repair - Télécharger - Compression & Décompression
Mot de passe corrompu - Guide
Fichier word corrompu que faire - Guide
Pilote graphique corrompu - Forum Carte graphique

31 réponses

Réponse 21 / 31

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
18 mai 2010 à 09:56

Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
Copie/colle les lignes suivantes et place les dans ZHPFix :

----------------------------------------------------------
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified

----------------------------------------------------------

- Clique sur « Tous », puis sur « Nettoyer »
- Copie/colle la totalité du rapport dans ta prochaine réponse

Smart

Réponse 22 / 31

broots_fr
18 mai 2010 à 18:24

ZHPFix v1.12.3099 by Nicolas Coolman - Rapport de suppression du 18/05/2010 18:23:58
Fichier d'export Registre : F:\ZHPExportRegistry-18-05-2010-18-23-58.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

Contact : nicolascoolman@yahoo.fr

Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès

Préférences navigateur :
(Néant)

Dossier :
(Néant)

Fichier :
(Néant)

Logiciel :
(Néant)

Script Registre :
(Néant)

Master Boot Record :
(Néant)

Autre :
(Néant)

Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 1
Dossier : 0
Fichier : 0
Logiciel : 0
Master Boot Record : 0
Préférences navigateur : 0
Autre : 0

End of the scan

Réponse 23 / 31

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
19 mai 2010 à 10:41

C'est bon la donnée a été supprimée.

Comment se comporte ton PC?

Je vais partir en en redez_vous mais je serais de retour en début de soiré et je serais là pour finaliser.
En effet il faut faire des mises à jour importantes, supprimer les outils que je t'ai faits installer optimiser et quelques conseil de préventions

Smart

Réponse 24 / 31

broots_fr
19 mai 2010 à 21:18

je n'ai plus le message, c'est cool !

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 25 / 31

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
20 mai 2010 à 14:27

Hé bien c'est bon. On va quand même refaire un ZHPDiag pour vérifier une dernière fois (J'ame bien être sûr) et ensuite on passe à la phase mises à jour et nettoyage des outils

Smart

Réponse 26 / 31

broots_fr
20 mai 2010 à 15:42

http://www.cijoint.fr/cjlink.php?file=cj201005/cijz4aLoPG.txt

Réponse 27 / 31

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
Modifié par Smart91 le 21/05/2010 à 10:28

On a presque terminé.

Tu as deux antivirus Antivir et Norton. Il faut en garder qu'un seul. Sacahnt que Norton est payant tu garder Antivir mais mest le à jour dans ce cas. En effet deux antivirus sont cause de conflit et ralentissent ton PC

1. Désinstallation des outils

Télécharge Toolscleaner sur ton Bureau:
- Double-clique sur ToolsCleaner2.exe et laisse le travailler
- Clique sur Recherche et laisse le scan se terminer.
- Clique sur Suppression pour finaliser.
- Tu peux, si tu le souhaites, te servir des Options facultatives.
- Clique sur Quitter, pour que le rapport puisse se créer.
- Le rapport (TCleaner.txt) se trouve à la racine du disque dur (C:\)...colle le dans ta prochaine réponse.

2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre).

3. Désactiver la restauration système et céer un point de restauration
Dans la barre des tâches de Windows, clique sur Démarrer.
Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés.
Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système"
Clique sur Appliquer.
Ensuite décoche "Désactiver la restauration du systeme"
Clique sur appliquer puis ok
Créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du système => créer un point de restauration => tu mets un nom (par exemple : PR après désinfection) puis tu valides

Fais les mises à jours suivantes :

Mise à jour IE8 ( indispensavble pour les mises à jour de Windows
https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70

Mise à jour Windows vers SP3:
http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=fr

Mise à jour Adobe
Désinstalle Adobe 8
Installe Adobe 9

Mise à jour console java :

Télécharge JavaRa.zip de Paul McLain et Fred de Vries.

http://raproducts.org/click/click.php?id=1

- Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
- Double-clique sur le répertoire JavaRa.
- Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
- Choisis Français puis clique sur Select.
- Clique sur Recherche de mises à jour.
- Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
- Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
- L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
- Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
- Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
- Ferme l'application.
Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.

Quelques conseils de Prévention

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement.

- Par rapport au P2P : http://www.libellules.ch/...

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) :
Prévention et Protection

Sois plus vigilant(e) sur Internet à l'avenir

Voilà pour moi c'est terminé. Si tu as des question n'hésite pas.

Smart

"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Réponse 28 / 31

broots_fr
20 mai 2010 à 17:56

F:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
F:\Documents and Settings\Broots\Application Data\Microsoft\Internet Explorer\Quick Launch\HijackThis.lnk: supprimé !
F:\Documents and Settings\Broots\Mes documents\Téléchargements\antivir\ComboFix.exe: ERREUR DE SUPPRESSION !!
F:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
F:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé !
F:\Combofix.txt: supprimé !
F:\Documents and Settings\Broots\Bureau\mbr.log: supprimé !
F:\Documents and Settings\Broots\Bureau\mbr.exe: supprimé !
F:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
F:\Program Files\ZHPDiag\mbr.log: supprimé !
F:\Program Files\ZHPDiag\mbr.exe: supprimé !
F:\Qoobox\Quarantine\catchme.log: supprimé !
F:\WINDOWS\mbr.exe: supprimé !
F:\Qoobox: supprimé !
F:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
F:\Program Files\ZHPDiag: supprimé !
F:\Program Files\Trend Micro\HijackThis: supprimé !

Réponse 29 / 31

broots_fr
20 mai 2010 à 18:18

ok pour combix il était en lecture seule. Je l'ai supprimé

sinon, tu me parles de Norton mais je n'ai pas Norton, en tt cas il n'est visible nulle part (ni dans ajout / suppr de programmes ni dans le menu démarrer)

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
21 mai 2010 à 10:27

Ce sont des restes de Norton après sa désinstalletion. Va sur le lien ci-dessous:
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924

Smart

Réponse 30 / 31

broots_fr
26 mai 2010 à 16:01

ok je vais regarder ça.
Merci pour tout Smart !

Réponse 31 / 31

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
26 mai 2010 à 19:25

OK Tiens moi au courant.

Smart

Discussions similaires

Archiver Winrar corrompue et ne se repare pas

[RAR] Archive corrompue

Pilote graphique corrompu?

cle USB pas reconnue par ma smart tv

Fichier ODT corrompu LibreOffice