Trojan TR/Crypt.ZPACK.Gen

bichoo Messages postés 250 Statut Membre -  
bichoo Messages postés 250 Statut Membre -
Bonjour,
Un nouveau virus s'est encore installé sur mon ordi aujourd'hui.Il s'agit du trojan TR/Crypt.ZPACK.Gen .
J'ai déjà fait tourner combofix ainsi qu'anti malware + supprimer les fichiers temporaires,il avait apparemment disparu mais il réapparait de nouveau quand même!
que faire?
merci beaucoup de votre aide!!

3 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Dans quel fichier, c'est détecté ?

    Tu peux poster le rapport Combofix.
    0
    1. bichoo Messages postés 250 Statut Membre 43
       
      voila le fichier:
      C:\System Volume Information\_restore{03A8A5C4-E6A8-4B42-8440-68557157B69C}\RP87\A0007406.sys.


      et voila le rapport:
      ComboFix 10-06-03.01 - Françoise 05/06/2010 20:56:09.6.1 - x86
      Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1023.685 [GMT 2:00]
      Lancé depuis: d:\téléchargements\ComboFix.exe
      AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
      .

      ((((((((((((((((((((((((((((( Fichiers créés du 2010-05-05 au 2010-06-05 ))))))))))))))))))))))))))))))))))))
      .

      2010-06-05 18:50 . 2010-06-05 19:02 772096 ----a-w- c:\windows\system32\drivers\ovxwnu.sys
      2010-06-05 17:55 . 2008-04-13 18:41 8576 -c--a-w- c:\windows\system32\dllcache\i2omgmt.sys
      2010-06-05 17:55 . 2008-04-13 18:41 8576 ----a-w- c:\windows\system32\drivers\i2omgmt.sys
      2010-06-05 16:47 . 2008-04-13 18:40 8192 -c--a-w- c:\windows\system32\dllcache\changer.sys
      2010-06-05 16:47 . 2008-04-13 18:40 8192 ----a-w- c:\windows\system32\drivers\changer.sys
      2010-06-05 13:25 . 2010-06-05 17:57 -------- d-----w- c:\windows\LastGood

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2010-06-05 17:57 . 2010-06-05 17:57 772096 ----a-w- c:\windows\system32\drivers\OLD85.tmp
      2010-06-05 17:56 . 2010-06-05 17:56 772096 ----a-w- c:\windows\system32\drivers\OLD82.tmp
      2010-06-05 17:54 . 2010-06-05 17:55 772096 ----a-w- c:\windows\system32\drivers\OLD7D.tmp
      2010-06-05 17:54 . 2010-06-05 17:54 772096 ----a-w- c:\windows\system32\drivers\OLD79.tmp
      2010-06-05 17:54 . 2010-06-05 17:54 772096 ----a-w- c:\windows\system32\drivers\OLD75.tmp
      2010-06-05 16:47 . 2010-06-05 16:48 772096 ----a-w- c:\windows\system32\drivers\OLD71.tmp
      2010-06-05 16:47 . 2010-06-05 16:47 772096 ----a-w- c:\windows\system32\drivers\OLD6D.tmp
      2010-06-05 16:47 . 2010-06-05 16:47 772096 ----a-w- c:\windows\system32\drivers\OLD69.tmp
      2010-06-05 13:24 . 2010-06-05 13:25 772096 ----a-w- c:\windows\system32\drivers\OLD63.tmp
      2010-05-29 09:14 . 2010-01-20 19:41 -------- d-----w- c:\program files\YesMessenger
      2010-05-02 09:02 . 2010-04-30 18:04 -------- d-----w- c:\program files\Fichiers communs\SmartCom
      2010-04-30 17:50 . 2010-04-30 17:50 -------- d-----w- c:\program files\SmartCom
      2010-04-29 17:53 . 2006-03-02 12:00 85404 ----a-w- c:\windows\system32\perfc00C.dat
      2010-04-29 17:53 . 2006-03-02 12:00 513080 ----a-w- c:\windows\system32\perfh00C.dat
      2010-04-13 10:31 . 2007-01-02 17:49 -------- d-----w- c:\program files\SAGEM
      2010-03-20 14:30 . 2008-12-15 21:22 411368 ----a-w- c:\windows\system32\deploytk.dll
      2010-03-11 12:34 . 2006-03-02 12:00 832512 ----a-w- c:\windows\system32\wininet.dll
      2010-03-11 12:34 . 2006-03-02 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll
      2010-03-11 12:34 . 2006-03-02 12:00 17408 ----a-w- c:\windows\system32\corpol.dll
      2010-03-09 11:10 . 2006-03-02 12:00 430080 ----a-w- c:\windows\system32\vbscript.dll
      2009-08-29 22:11 . 2009-08-28 16:12 9104 --sh--r- c:\windows\system32\msivs10.dll
      2009-08-29 13:58 . 2009-08-28 18:04 9104 --sh--r- c:\windows\system32\msivsvt.dll
      .

      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-10-28 68856]
      "IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" [2008-02-28 1828136]
      "Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-11-07 21633320]
      "SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
      "FileHippo.com"="c:\program files\FileHippo.com\UpdateChecker.exe" [2010-03-03 155648]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "SoundMan"="SOUNDMAN.EXE" [2003-12-19 65024]
      "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2003-07-28 4841472]
      "nwiz"="nwiz.exe" [2003-07-28 323584]
      "ezShieldProtector for Px"="c:\windows\system32\ezSP_Px.exe" [2002-08-20 40960]
      "Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [2007-03-16 63712]
      "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-10-14 49152]
      "NeroFilterCheck"="c:\program files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2008-02-28 570664]
      "NBKeyScan"="c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-02-18 2221352]
      "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-11-13 185872]
      "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
      "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
      "SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-01-11 246504]
      "BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]

      c:\documents and settings\Fran#oise\Menu D'marrer\Programmes\D'marrage\
      OpenOffice.org 2.4.lnk - c:\program files\OpenOffice.org 2.4\program\quickstart.exe [2008-1-21 393216]
      Outil de d'tection de support Picture Motion Browser.lnk - c:\program files\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe [2008-12-2 385024]

      c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
      WinZip Quick Pick.lnk - c:\program files\WinZip\WZQKPICK.EXE [2010-1-31 106560]

      [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
      path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
      backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

      [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Démarrage rapide du logiciel HP Image Zone.lnk]
      path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Démarrage rapide du logiciel HP Image Zone.lnk
      backup=c:\windows\pss\Démarrage rapide du logiciel HP Image Zone.lnkCommon Startup

      [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]
      path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk
      backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
      2008-10-15 00:04 39792 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
      2008-04-14 02:33 15360 ------w- c:\windows\system32\ctfmon.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ezShieldProtector for Px]
      2002-08-20 09:29 40960 ----a-w- c:\windows\system32\ezSP_Px.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
      2007-10-14 19:17 49152 ----a-w- c:\program files\HP\HP Software Update\hpwuSchd2.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
      2004-02-25 16:15 454656 ----a-w- c:\program files\Logitech\Video\ISStart.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
      2004-02-25 16:06 212992 ----a-w- c:\program files\Logitech\Video\LogiTray.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
      2003-07-28 07:19 49152 ----a-r- c:\windows\system32\nvmctray.dll

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
      2003-10-31 18:42 32768 ----a-w- c:\program files\ASUSTek\ASUSDVD\PDVDServ.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
      "DisableMonitoring"=dword:00000001

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
      "DisableMonitoring"=dword:00000001

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
      "DisableMonitoring"=dword:00000001

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
      "EnableFirewall"= 0 (0x0)

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "c:\\Program Files\\Messenger\\msmsgs.exe"=
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
      "c:\\WINDOWS\\system32\\ftp.exe"=
      "c:\\Program Files\\LimeWire\\LimeWire.exe"=
      "c:\\Program Files\\Fichiers communs\\Nero\\Nero Web\\SetupX.exe"=
      "c:\\Program Files\\Opera 10 Beta\\opera.exe"=
      "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
      "c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
      "c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
      "c:\\Program Files\\Skype\\Phone\\Skype.exe"=

      R0 viasraid;viasraid;c:\windows\system32\drivers\viasraid.sys [29/12/2006 12:09 77312]
      R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [27/11/2009 16:34 108289]
      R3 VCSVADHWSer;Avnex Virtual Audio Device (WDM);c:\windows\system32\drivers\vcsvad.sys [30/01/2010 15:40 17792]
      S3 k600bus;Sony Ericsson 600i driver (WDM);c:\windows\system32\drivers\k600bus.sys [11/05/2005 13:12 52384]
      S3 k600mdfl;Sony Ericsson 600i USB WMC Modem Filter;c:\windows\system32\drivers\k600mdfl.sys [11/05/2005 13:12 6096]
      S3 k600mdm;Sony Ericsson 600i USB WMC Modem Drivers;c:\windows\system32\drivers\k600mdm.sys [11/05/2005 13:12 87456]
      S3 SetupNTGLM7X;SetupNTGLM7X;\??\e:\ntglm7x.sys --> e:\NTGLM7X.sys [?]

      --- Autres Services/Pilotes en mémoire ---

      *NewlyCreated* - OVXWNU
      *Deregistered* - ovxwnu

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
      HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
      .
      Contenu du dossier 'Tâches planifiées'

      2010-05-29 c:\windows\Tasks\AppleSoftwareUpdate.job
      - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
      .
      .
      ------- Examen supplémentaire -------
      .
      uStart Page = hxxp://www.kiwee.com/
      mWindow Title =
      uInternet Connection Wizard,ShellNext = iexplore
      IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
      IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      IE: { - c:\program files\Messenger\msmsgs.exe
      FF - ProfilePath - c:\documents and settings\Françoise\Application Data\Mozilla\Firefox\Profiles\9fiwemf9.default\
      FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
      FF - prefs.js: browser.search.selectedEngine - Wikipédia (fr)
      FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/firefox?client=firefox-a&rls=org.mozilla:fr:official
      FF - prefs.js: keyword.URL - hxxp://www.searcheo.fr/renseignement?search&q=
      FF - plugin: c:\program files\Fichiers communs\ParallelGraphics\Cortona\npCortona.dll
      FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll
      FF - plugin: c:\program files\Mozilla Firefox\plugins\npCortona.dll
      FF - plugin: c:\program files\Opera 10 Beta\program\plugins\npdsplay.dll
      FF - plugin: c:\program files\Opera 10 Beta\program\plugins\npwmsdrm.dll
      FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
      FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

      ---- PARAMETRES FIREFOX ----
      c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
      c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
      c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
      c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
      .
      - - - - ORPHELINS SUPPRIMES - - - -

      MSConfigStartUp-SPAMfighter Agent - c:\program files\SPAMfighter\SFAgent.exe



      **************************************************************************

      catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2010-06-05 21:02
      Windows 5.1.2600 Service Pack 3 NTFS

      Recherche de processus cachés ...

      Recherche d'éléments en démarrage automatique cachés ...

      Recherche de fichiers cachés ...

      Scan terminé avec succès
      Fichiers cachés: 0

      **************************************************************************

      [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ovxwnu]

      .
      --------------------- CLES DE REGISTRE BLOQUEES ---------------------

      [HKEY_USERS\S-1-5-21-1606980848-1897051121-682003330-1004\Software\Microsoft\SystemCertificates\AddressBook*]
      @Allowed: (Read) (RestrictedCode)
      @Allowed: (Read) (RestrictedCode)

      [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø*€|ÿÿÿÿ*€|ù*9~*]
      "C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
      .
      --------------------- DLLs chargées dans les processus actifs ---------------------

      - - - - - - - > 'explorer.exe'(3648)
      c:\windows\system32\eappprxy.dll
      c:\windows\system32\WPDShServiceObj.dll
      c:\windows\system32\PortableDeviceTypes.dll
      c:\windows\system32\PortableDeviceApi.dll
      .
      Heure de fin: 2010-06-05 21:05:44
      ComboFix-quarantined-files.txt 2010-06-05 19:05

      Avant-CF: 6 294 052 864 octets libres
      Après-CF: 6 517 596 160 octets libres

      - - End Of File - - 2B94492F7E5C6510CC569B7E916972F7
      0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Sauvegarde tes documents importants.

    * Telecharge:: http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
    -> http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

    * dezippe le , Lance l'épée , executer en tant qu'administrateur sous vista

    Dans le cadre , sous Input Script here , copie_colle le contenu du cadre ci dessous et clic execute:

    begin copying here:
    Drivers to delete:
    ovxwnu
    Files to delete:
    c:\windows\system32\drivers\ovxwnu.sys


    * Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

    Relance Combofix et poste le rapport ici.
    0
    1. bichoo Messages postés 250 Statut Membre 43
       
      ok je ferais ça jeudi soir!merci
      0
    2. bichoo Messages postés 250 Statut Membre 43
       
      bonjour (dsl pour la réponse tardive)
      voila le rapport de avenger:
      Logfile of The Avenger Version 2.0, (c) by Swandog46
      http://swandog46.geekstogo.com

      Platform: Windows XP

      *******************

      Script file opened successfully.
      Script file read successfully.

      Backups directory opened successfully at C:\Avenger

      *******************

      Beginning to process script file:

      Rootkit scan active.
      No rootkits found!

      Driver "ovxwnu" deleted successfully.
      File "c:\windows\system32\drivers\ovxwnu.sys" deleted successfully.

      Completed script processing.

      *******************

      Finished! Terminate.
      0
    3. bichoo Messages postés 250 Statut Membre 43
       
      je n'arrive pas a poster le rapport de combofix, il est en ligne ici:
      http://www.cijoint.fr/cjlink.php?file=cj201006/cijSh4SjJc.txt

      voila :)
      0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Ca semble correct.

    Maintiens tes logiciel à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
    Absolument à faire.

    Pour désinstaller Combofix :
    - Menu Démarrer / exécuter et tape : Combofix /uninstall puis OK (attention il y a pas d'espace entre le / et le uninstall)

    Un peu de lecture pour éviter les infections :
    - connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
    - sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html

    0
    1. bichoo Messages postés 250 Statut Membre 43
       
      ok merci beaucoup de votre aide!
      0
    2. bichoo Messages postés 250 Statut Membre 43
       
      bonjour,
      le virus est toujours présent.
      que dois-je faire?
      0
    3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      qu'est ce qui te fait dire cela ?
      Si Antivir a détecté qq chose, donne le fichier infecté :)

      sachant qu'il est possible qu'Antivir redétecte le malware dans la quarantaine de The Avenger.
      0
    4. bichoo Messages postés 250 Statut Membre 43
       
      oui il detecte quelque chose: c'est toujours le meme fichier qui est infecté:C:\System Volume Information\_restore{03A8A5C4-E6A8-4B42-8440-68557157B69C}\RP87\A0007406.sys.
      0
    5. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      c'est dans la restauration du système.
      C'est pas actif.

      Faut Désactiver/Réactiver la restauration du système :
      http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924
      0