Packed.Win32.Krap.gx infection
Résolu/Fermé
Luc
-
17 juin 2010 à 11:05
NicoVA Messages postés 1058 Date d'inscription dimanche 6 décembre 2009 Statut Contributeur sécurité Dernière intervention 16 novembre 2011 - 18 juin 2010 à 17:25
NicoVA Messages postés 1058 Date d'inscription dimanche 6 décembre 2009 Statut Contributeur sécurité Dernière intervention 16 novembre 2011 - 18 juin 2010 à 17:25
A voir également:
- Packed.Win32.Krap.gx infection
- Cheval de troie: packed.win32.Tdss.c - Forum Virus
- Infection ou pas ??? - Forum Virus
- Infection ou pas? ✓ - Forum Virus
- Infection pc ✓ - Forum Virus
- [Pnkbstra]infection ✓ - Forum Virus
27 réponses
NicoVA
Messages postés
1058
Date d'inscription
dimanche 6 décembre 2009
Statut
Contributeur sécurité
Dernière intervention
16 novembre 2011
71
17 juin 2010 à 11:07
17 juin 2010 à 11:07
Salut !
On va faire un diag pour voir ou se situe l'infection, et dans ce cas te désinfecter.
Tout d'abord, pour le bon déroulement de la désinfection :
- Ne crée pas plusieurs sujets sur différents forum
- Éviter les prises de décisions hasardeuses, si jamais tu a des questions n'hésite pas
- Reste bien jusqu'à la fin de la désinfection, même si cela semble aller mieux.
Ensuite :
▶ Télécharge ZHPDiag
▶ Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
▶ Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
▶ Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
▶ Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
++
On va faire un diag pour voir ou se situe l'infection, et dans ce cas te désinfecter.
Tout d'abord, pour le bon déroulement de la désinfection :
- Ne crée pas plusieurs sujets sur différents forum
- Éviter les prises de décisions hasardeuses, si jamais tu a des questions n'hésite pas
- Reste bien jusqu'à la fin de la désinfection, même si cela semble aller mieux.
Ensuite :
▶ Télécharge ZHPDiag
▶ Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
▶ Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
▶ Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
▶ Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
++
D'abord merci beaucoup pour ton aide NicoVa.
Ensuite,
J'ai bien fait le rapport ZHPDiag.txt, mais je n'arrive pas a le mettre sur le site Cijoint.fr.
Je ne sais pas si cela vient du site ou de ma connection, mais chaque fois que j'essaie de deposer le rapport la page se deconnecte.....j'ai meme cree un compte utilisateur.....
Y aurait t il un autre moyen pour te communiquer le rapport ZHPDiag.txt???
Encore merci
Ensuite,
J'ai bien fait le rapport ZHPDiag.txt, mais je n'arrive pas a le mettre sur le site Cijoint.fr.
Je ne sais pas si cela vient du site ou de ma connection, mais chaque fois que j'essaie de deposer le rapport la page se deconnecte.....j'ai meme cree un compte utilisateur.....
Y aurait t il un autre moyen pour te communiquer le rapport ZHPDiag.txt???
Encore merci
NicoVA
Messages postés
1058
Date d'inscription
dimanche 6 décembre 2009
Statut
Contributeur sécurité
Dernière intervention
16 novembre 2011
71
17 juin 2010 à 11:45
17 juin 2010 à 11:45
Je suis desole mais je n'arrive pas a mettre mon fichier en ligne.
La page internet ne peut etre affiche suite a mon upload...
Je comprends pas....
La page internet ne peut etre affiche suite a mon upload...
Je comprends pas....
C'est interdit de copier coller le resultat de ZHPdiag sur ce site?
en plusieurs fois si necessaire?
Merci pour l'aide.
en plusieurs fois si necessaire?
Merci pour l'aide.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
En fait je pense que c'est un probleme avec les fichiers de ZHPdiag, parceque j'ai reussi a mettre en ligne un fichier .txt de Malwarebytes. Tandis que les fichiers .txt de ZHPdiag meme en les renomant ne passe pas.....
que faire?
que faire?
J'ai reussi en renomant le fichier sous worpad et en le sauvegardant en .txt et non .Txt
Voila le lien:
[url=https://www.luanagames.com/index.fr.html]analyse.txt[/url]
Voila le lien:
[url=https://www.luanagames.com/index.fr.html]analyse.txt[/url]
je repost le lien (desole)
[url=https://www.luanagames.com/index.fr.html]analyse.txt[/url]
merci encore
[url=https://www.luanagames.com/index.fr.html]analyse.txt[/url]
merci encore
Vu que c'etait pas trop lisible (a mon avis, mais bon j'y connais rien) apres download, j'en ai fait un Pdf qui est amon avis plus lisible apres telechargement.
Voila
[url=https://www.luanagames.com/index.fr.html]analyse.pdf[/url]
merci
Voila
[url=https://www.luanagames.com/index.fr.html]analyse.pdf[/url]
merci
NicoVA
Messages postés
1058
Date d'inscription
dimanche 6 décembre 2009
Statut
Contributeur sécurité
Dernière intervention
16 novembre 2011
71
17 juin 2010 à 13:20
17 juin 2010 à 13:20
Salut
Évite le pdf stp, c'est justement pas vraiment lisible.
Bon, plusieurs infections dont un rootkit TDSS il me semble :
* Sous Vista : ▶ Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):
▶ Clique sur Démarrer puis sur panneau de configuration
▶ Double Clique sur l'icône "Comptes d'utilisateurs"
▶ Clique ensuite sur désactiver et valide.
▶ Redémarre le PC
▶ Télécharge Combofix de sUBs
▶ et enregistre le sur le Bureau.
▶ désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)
Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
▶ Je te conseille d'installer la console de récupération !!
ensuite envois le rapport stp en format .txt !
++
Évite le pdf stp, c'est justement pas vraiment lisible.
Bon, plusieurs infections dont un rootkit TDSS il me semble :
* Sous Vista : ▶ Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):
▶ Clique sur Démarrer puis sur panneau de configuration
▶ Double Clique sur l'icône "Comptes d'utilisateurs"
▶ Clique ensuite sur désactiver et valide.
▶ Redémarre le PC
▶ Télécharge Combofix de sUBs
▶ et enregistre le sur le Bureau.
▶ désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)
Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
▶ Je te conseille d'installer la console de récupération !!
ensuite envois le rapport stp en format .txt !
++
Si je suis sous XP,
Je dois commencer ou?
A telecharge Combofix de sUBs?
merci de ton aide
Je dois commencer ou?
A telecharge Combofix de sUBs?
merci de ton aide
NicoVA
Messages postés
1058
Date d'inscription
dimanche 6 décembre 2009
Statut
Contributeur sécurité
Dernière intervention
16 novembre 2011
71
17 juin 2010 à 13:25
17 juin 2010 à 13:25
Oui, télécharge combofix ne t'occupe pas de "* Sous Vista : ? Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):
? Clique sur Démarrer puis sur panneau de configuration
? Double Clique sur l'icône "Comptes d'utilisateurs"
? Clique ensuite sur désactiver et valide.
? Redémarre le PC "
++
? Clique sur Démarrer puis sur panneau de configuration
? Double Clique sur l'icône "Comptes d'utilisateurs"
? Clique ensuite sur désactiver et valide.
? Redémarre le PC "
++
Salut,
J'ai lancer Combofix, il a installe la console de recup.
Tous c'est bien passe.
Voila le loG:
[url=https://www.luanagames.com/index.fr.html]log.txt[/url]
merci
J'ai lancer Combofix, il a installe la console de recup.
Tous c'est bien passe.
Voila le loG:
[url=https://www.luanagames.com/index.fr.html]log.txt[/url]
merci
NicoVA
Messages postés
1058
Date d'inscription
dimanche 6 décembre 2009
Statut
Contributeur sécurité
Dernière intervention
16 novembre 2011
71
17 juin 2010 à 15:02
17 juin 2010 à 15:02
Salut
--> Désinstalle Ask toolbar
puis
Désactive la protection de ton antivirus, anti-spyware et ferme internet et tes applications
-> Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
KillAll::
Driver::
SpyHunter 4 Service
-> Enregistre ce fichier sous le nom CFScript
-> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe
-> Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
* Ne touche à rien tant que le scan n'est pas terminé.
-> Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
-> Si le fichier n'apparait pas, il se trouve ici dans C:\ sous le nom de ComboFix.txt
Ps: Ton Windows est légal ou piraté ?
++
--> Désinstalle Ask toolbar
puis
Désactive la protection de ton antivirus, anti-spyware et ferme internet et tes applications
-> Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
KillAll::
Driver::
SpyHunter 4 Service
-> Enregistre ce fichier sous le nom CFScript
-> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe
-> Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
* Ne touche à rien tant que le scan n'est pas terminé.
-> Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
-> Si le fichier n'apparait pas, il se trouve ici dans C:\ sous le nom de ComboFix.txt
Ps: Ton Windows est légal ou piraté ?
++
Salut, encore merci de m' aider.
J'ai pas de Ask toolbar, ou en tout cas je ne la trouve pas.
Elle n'apparait pas dans le menu: Control Panel/Add-Remove program.
Est-ce que cela peut-etre la "Nero" tool bar?
Ok j'essaie de la desinstaller.....
-Pour le CFScript, je peux le faire avec Notepad?
-Mon Windows est legal.
Mais mon portable de meme que les licences sont la propriete de l' institution pour laquelle je travaille. D' habitude le service IT s' occupe de resoudre les problemes techniques mais la je suis a l' etranger.
Donc, je n'ai ni CD de windows, ni la cle d'authorization.
ce qui est bon a savoir....je ne peux pas reinstaller windows...voial, pour infos.
je ne sais pas si cela t'est utile....
-De meme je ne peux pas desactiver F-secure (mon Antivirus).
je pense que je n'ai pas les privileges. Seulement les administrateurs (IT services)
peuvent le faire.
Que dois je faire?
J'ai pas de Ask toolbar, ou en tout cas je ne la trouve pas.
Elle n'apparait pas dans le menu: Control Panel/Add-Remove program.
Est-ce que cela peut-etre la "Nero" tool bar?
Ok j'essaie de la desinstaller.....
-Pour le CFScript, je peux le faire avec Notepad?
-Mon Windows est legal.
Mais mon portable de meme que les licences sont la propriete de l' institution pour laquelle je travaille. D' habitude le service IT s' occupe de resoudre les problemes techniques mais la je suis a l' etranger.
Donc, je n'ai ni CD de windows, ni la cle d'authorization.
ce qui est bon a savoir....je ne peux pas reinstaller windows...voial, pour infos.
je ne sais pas si cela t'est utile....
-De meme je ne peux pas desactiver F-secure (mon Antivirus).
je pense que je n'ai pas les privileges. Seulement les administrateurs (IT services)
peuvent le faire.
Que dois je faire?
NicoVA
Messages postés
1058
Date d'inscription
dimanche 6 décembre 2009
Statut
Contributeur sécurité
Dernière intervention
16 novembre 2011
71
Modifié par NicoVA le 17/06/2010 à 15:53
Modifié par NicoVA le 17/06/2010 à 15:53
Salut
Pour Ask, on s'en occupera après :-)
Oui tu peux le faire avec le notepad ;)
++
Pour Ask, on s'en occupera après :-)
Oui tu peux le faire avec le notepad ;)
++
Voila,
J'ai reussi a desinstaller ask toolbar,
J'ai lance Combofix sans desactiver F-secure car comme je l'ai explique je n' ai pas les droits pour ce faire. (ca fait un peu peru les message de Combofix sur le fait que F-secure est tjrs on...) Le log est la:
[url=https://www.luanagames.com/index.fr.html]log2.txt[/url]
Merci.
J'ai reussi a desinstaller ask toolbar,
J'ai lance Combofix sans desactiver F-secure car comme je l'ai explique je n' ai pas les droits pour ce faire. (ca fait un peu peru les message de Combofix sur le fait que F-secure est tjrs on...) Le log est la:
[url=https://www.luanagames.com/index.fr.html]log2.txt[/url]
Merci.
NicoVA
Messages postés
1058
Date d'inscription
dimanche 6 décembre 2009
Statut
Contributeur sécurité
Dernière intervention
16 novembre 2011
71
Modifié par NicoVA le 17/06/2010 à 16:50
Modifié par NicoVA le 17/06/2010 à 16:50
Ok,
Peux tu me refaire un ZHPdiag ?
A++
Peux tu me refaire un ZHPdiag ?
A++
Et voila,
[url=https://www.luanagames.com/index.fr.html]ZHPDiag2.Txt[/url]
c'est sur la bonne voie, non?
[url=https://www.luanagames.com/index.fr.html]ZHPDiag2.Txt[/url]
c'est sur la bonne voie, non?
NicoVA
Messages postés
1058
Date d'inscription
dimanche 6 décembre 2009
Statut
Contributeur sécurité
Dernière intervention
16 novembre 2011
71
Modifié par NicoVA le 17/06/2010 à 17:04
Modifié par NicoVA le 17/06/2010 à 17:04
Salut
Toujours se foutu rootkit, on va s'en débarrasser pour cela :
--> télécharge sur ton bureau TDSSkiller.zip , de zippe le et exécute le , un rapport sera crée ici:
* C:\TDSSKillerVersion_Date_Time_log.txt.<< copie_colle son contenu
--> tu as aussi directement l'exécutable là : TDSSkiller.exe
--> si TDSSKiller fait apparaître ce message:
Hidden service detected: nom du service caché:
Type "delete" (without quotes) to delete it: 14:30:08:000 0256
--> tape delete et valide par la touche Enter.
--> Poste le rapport TDSSkiller dans ta prochaine réponse
A++
Toujours se foutu rootkit, on va s'en débarrasser pour cela :
--> télécharge sur ton bureau TDSSkiller.zip , de zippe le et exécute le , un rapport sera crée ici:
* C:\TDSSKillerVersion_Date_Time_log.txt.<< copie_colle son contenu
--> tu as aussi directement l'exécutable là : TDSSkiller.exe
--> si TDSSKiller fait apparaître ce message:
Hidden service detected: nom du service caché:
Type "delete" (without quotes) to delete it: 14:30:08:000 0256
--> tape delete et valide par la touche Enter.
--> Poste le rapport TDSSkiller dans ta prochaine réponse
A++
Tu n'aurais pas un autre lien stp.
car ceux-ci sont instable, je veux dire que je n'arrive pas a telecharger le logiciel, la connection coupe avant la fin.
Merci.
car ceux-ci sont instable, je veux dire que je n'arrive pas a telecharger le logiciel, la connection coupe avant la fin.
Merci.
NicoVA
Messages postés
1058
Date d'inscription
dimanche 6 décembre 2009
Statut
Contributeur sécurité
Dernière intervention
16 novembre 2011
71
17 juin 2010 à 18:13
17 juin 2010 à 18:13
Salut Luc,
Sa doit être le rootkit, il peut bloquer des adresses d'AV connus.
Télécharge le ici
Il est sous le nom de LucKiller, c'est TDSSkiller renommé pour éviter qu'il soit bloqué par l'infection.
++
Sa doit être le rootkit, il peut bloquer des adresses d'AV connus.
Télécharge le ici
Il est sous le nom de LucKiller, c'est TDSSkiller renommé pour éviter qu'il soit bloqué par l'infection.
++
Voila le rapport:
TDSS rootkit removing tool, Kaspersky Lab, 2010
version 2.3.2.0 May 31 2010 10:39:48
Scanning Services ...
Scanning Drivers ...
Completed
Results:
Registry objects infected / cured / cured on reboot: 0 / 0 / 0
File objects infected / cured / cured on reboot: 0 / 0 / 0
Press any key to continue . . .
TDSS rootkit removing tool, Kaspersky Lab, 2010
version 2.3.2.0 May 31 2010 10:39:48
Scanning Services ...
Scanning Drivers ...
Completed
Results:
Registry objects infected / cured / cured on reboot: 0 / 0 / 0
File objects infected / cured / cured on reboot: 0 / 0 / 0
Press any key to continue . . .
