Packed.Win32.Krap.gx infection Résolu/Fermé

Question

Bonjour, 

Mon probleme:
Mon Antivirus (F-secure) popup toute les 10 minutes avec la decouverte d'un virus "Packed.Win32.Krap.gx". 
Il me propose ensuite de le desinfecter, de le detruire, ou de le mettre en quarantaine. Mais rien n'y fait, F-secure m'annonce que "le fichier n'a pas pu etre desinfecte" ou "detruit" car un autre logiciel ou application a du le desinfecter ou l'enlever. Moi ca me va, mais le popup de prevention reviens par la suite encore et toujours. Le chemin du fichier infecte est le suivant:
C:\windows	emp\qglh.temp\svchost.exe
Mais a chaque fois que je vais voir dans ce dossier, il n' y a pas de "svchost.exe" le fichier est vide.
De plus a chaque fois que je 'desinfecte' avec F-secure, et donc a chaque fois que le "popup" de prevention reviens le chemin change un peu: "qglh.temp" peut etre remplac'e par "gjqw.temp" ou "piuw.temp" etc.....
Si j'utilise Ccleaner c' est fichier sont effaces mais d' autre sont crees plus tard....

Malware Bytes(scan complet) ne trouves rien.
F-secure en scan complet ne trouves rien non plus, ce qui est bizarre puisque il m' averti au travers de popup.....
Mon ordi ne semble pas plus lent et j'ai rarement des fenetres explorer qui apparaissent lorsque je suis sur internet.

Est-que quelqu'un peu m'aider?

Config:
Windows XP sp3
Internet Explorer 7.0
PortableL: Dell
Antivirus: F-secure client

NicoVA · Answer

Salut !

On va faire un diag pour voir ou se situe l'infection, et dans ce cas te désinfecter.

Tout d'abord, pour le bon déroulement de la désinfection :

- Ne crée pas plusieurs sujets sur différents forum
- Éviter les prises de décisions hasardeuses, si jamais tu a des questions n'hésite pas
- Reste bien jusqu'à la fin de la désinfection, même si cela semble aller mieux.

Ensuite :

&#x25B6; Télécharge ZHPDiag

&#x25B6; Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

&#x25B6; Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)

&#x25B6; Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette

&#x25B6; Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

++

Luc · Answer

D'abord merci beaucoup pour ton aide NicoVa.

Ensuite,

J'ai bien fait le rapport ZHPDiag.txt, mais je n'arrive pas a le mettre sur le site Cijoint.fr.
Je ne sais pas si cela vient du site ou de ma connection, mais chaque fois que j'essaie de deposer le rapport la page se deconnecte.....j'ai meme cree un compte utilisateur.....

Y aurait t il un autre moyen pour te communiquer le rapport ZHPDiag.txt???

Encore merci

Luc · Answer

Je suis desole mais je n'arrive pas a mettre mon fichier en ligne.
La page internet ne peut etre affiche suite a mon upload...

Je comprends pas....

Luc · Answer

C'est interdit de copier coller le resultat de ZHPdiag sur ce site?
en plusieurs fois si necessaire?

Merci pour l'aide.

Luc · Answer

En fait je pense que c'est un probleme avec les fichiers de ZHPdiag, parceque j'ai reussi a mettre en ligne un fichier .txt de Malwarebytes. Tandis que les fichiers .txt de ZHPdiag meme en les renomant ne passe pas.....
que faire?

Luc · Answer

J'ai reussi en renomant le fichier sous worpad et en le sauvegardant en .txt et non .Txt
Voila le lien:
[url=https://www.luanagames.com/index.fr.html]analyse.txt[/url]

Luc · Answer

je repost le lien (desole)

[url=https://www.luanagames.com/index.fr.html]analyse.txt[/url]

merci encore

Luc · Answer

Vu que c'etait pas trop lisible (a mon avis, mais bon j'y connais rien) apres download, j'en ai fait un Pdf qui est amon avis plus lisible apres telechargement.
Voila

[url=https://www.luanagames.com/index.fr.html]analyse.pdf[/url]

merci

NicoVA · Answer

Salut 

Évite le pdf stp, c'est justement pas vraiment lisible.

Bon, plusieurs infections dont un rootkit TDSS il me semble :

* Sous Vista : &#x25B6; Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

&#x25B6; Clique sur Démarrer puis sur panneau de configuration
&#x25B6; Double Clique sur l'icône "Comptes d'utilisateurs"
&#x25B6; Clique ensuite sur désactiver et valide.
&#x25B6; Redémarre le PC


&#x25B6; Télécharge Combofix de sUBs

&#x25B6; et enregistre le sur le Bureau.
 
&#x25B6; désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)


Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

&#x25B6; Je te conseille d'installer la console de récupération !!
 
ensuite envois le rapport stp en format .txt !

++

Luc · Answer

Si je suis sous XP,

Je dois commencer ou?
A telecharge Combofix de sUBs?

merci de ton aide

Luc · Answer

Salut,

J'ai lancer Combofix, il a installe la console de recup.
Tous c'est bien passe.

Voila le loG:

[url=https://www.luanagames.com/index.fr.html]log.txt[/url]

merci

NicoVA · Answer

Salut

--> Désinstalle Ask toolbar

puis

Désactive la protection de ton antivirus, anti-spyware et ferme internet et tes applications 

-> Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

KillAll::

Driver::
SpyHunter 4 Service

-> Enregistre ce fichier sous le nom CFScript

-> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

-> Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

* Ne touche à rien tant que le scan n'est pas terminé.

-> Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

-> Si le fichier n'apparait pas, il se trouve ici dans C:\ sous le nom de ComboFix.txt

Ps:  Ton Windows est légal ou piraté ?

++

Luc · Answer

Salut, encore merci de m' aider.

J'ai pas de Ask toolbar, ou en tout cas je ne la trouve pas.
Elle n'apparait pas dans le menu: Control Panel/Add-Remove program.
Est-ce que cela peut-etre la "Nero" tool bar?
Ok j'essaie de la desinstaller.....

-Pour le CFScript, je peux le faire avec Notepad?

-Mon Windows est legal.
Mais mon portable de meme que les licences sont la propriete de l' institution pour laquelle je travaille. D' habitude le service IT s' occupe de resoudre les problemes techniques mais la je suis a l' etranger.
Donc, je n'ai ni CD de windows, ni la cle d'authorization.
ce qui est bon a savoir....je ne peux pas reinstaller windows...voial, pour infos.
je ne sais pas si cela t'est utile....

-De meme je ne peux pas desactiver F-secure (mon Antivirus).
je pense que je n'ai pas les privileges. Seulement les administrateurs (IT services)
peuvent le faire.

Que dois je faire?

Luc · Answer

Voila,
J'ai reussi a desinstaller ask toolbar,

J'ai lance Combofix sans desactiver F-secure car comme je l'ai explique je n' ai pas les droits pour ce faire. (ca fait un peu peru les message de Combofix sur le fait que F-secure est tjrs on...) Le log est la:

[url=https://www.luanagames.com/index.fr.html]log2.txt[/url]

Merci.

NicoVA · Answer

Ok, 

Peux tu me refaire un ZHPdiag  ? 

A++

Luc · Answer

Et voila,

[url=https://www.luanagames.com/index.fr.html]ZHPDiag2.Txt[/url]

c'est sur la bonne voie, non?

NicoVA · Answer

Salut Toujours se foutu rootkit, on va s'en débarrasser pour cela : --> télécharge sur ton bureau TDSSkiller.zip , de zippe le et exécute le , un rapport sera crée ici: * C:\TDSSKillerVersion_Date_Time_log.txt.<< copie_colle son contenu --> tu as aussi directement l'exécutable là : TDSSkiller.exe --> si TDSSKiller fait apparaître ce message: Hidden service detected: nom du service caché: Type "delete" (without quotes) to delete it: 14:30:08:000 0256 --> tape delete et valide par la touche Enter. --> Poste le rapport TDSSkiller dans ta prochaine réponse A++

Luc · Answer

Tu n'aurais pas un autre lien stp.
car ceux-ci sont instable, je veux dire que je n'arrive pas a telecharger le logiciel, la  connection coupe avant la fin.

Merci.

NicoVA · Answer

Salut Luc,

Sa doit être le rootkit, il peut bloquer des adresses d'AV connus. 

Télécharge le ici

Il est sous le nom de LucKiller, c'est TDSSkiller renommé pour éviter qu'il soit bloqué par l'infection.

++

Luc · Answer

Voila  le rapport:

TDSS rootkit removing tool, Kaspersky Lab, 2010
version 2.3.2.0 May 31 2010 10:39:48

Scanning        Services ...

Scanning        Drivers ...

Completed

Results:
Registry objects infected / cured / cured on reboot:    0 / 0 / 0
File objects infected / cured / cured on reboot:        0 / 0 / 0

Press any key to continue . . .

NicoVA · Answer

Mouai... chuis pas vraiment convaincu. Pour être sur qu'il n'y a plus de rootkit 

Téléchargez Gmer. (Przemyslaw Gmerek) sur votre bureau. 

    * Dézippez-le dans un dossier dédié ou sur votre Bureau. 
    * Déconnectez vous d'Internet puis fermez tous les programmes. 
    * Double-cliquez sur Gmer.exe (ou clic droit > "Exécuter en tant qu'administrateur" pour Vista). 
    * Cliquez sur l'onglet "Rootkit". 
    * A droite, cochez seulement Files, Services & Registry. 
    * Cliquez maintenant sur "Scan". 
    * Lorsque le scan est terminé, cliquez sur "Copy". 
    * Ouvrez le Bloc-notes puis cliquez sur le Menu Édition / Coller. 
    * Le rapport doit alors apparaitre.  

=> Colle le dans ta prochaine réponse.

Luc · Answer

Bonjour NicoVa,
encore merci pour toute l' aide d'hier.

Je suis desole de repondre que maintenant, mais bon, le scan de Gmer s'est termine dans la nuit.
Il m'a indique qu'il n'avait trouve aucun malware/rootkit....
J'ai clique sur "copy" puis la 'beug' impossible de faire quoi que ce soit....et donc impossible de copier le rapport. Enfin bon aucun rapport n'apparaissait dans la fenetre de Gmer.....seulement une ligne en bas me disant qu'il n'avait trouve aucun malware/rootkit...

Voila.

NicoVA · Answer

Salut,

Ok, le rootkit TDSS n'est plus présent. Peux tu refaire un scan complet de MBAM ( en n'oubliant pas le mettre à jour ) 

++

Luc · Answer

Salut NicoVa,

ce matin j'ai fait un scan complet avec Malwarebytes,
il atrouve une infection qu'il a nettoyer.

Voici le log:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Database version: 4211

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

18-6-2010 12:14:27
mbam-log-2010-06-18 (12-14-27).txt

Scan type: Full scan (C:\|D:\|E:\|F:\|)
Objects scanned: 330645
Time elapsed: 1 hour(s), 7 minute(s), 44 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 1

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\System Volume Information\_restore{8346A860-04E1-4AC3-8550-A87B29CAD75B}\RP115\A0026484.exe (Adware.Adrotator) -> Quarantined and deleted successfully.

NicoVA · Answer

C'est OK, c'était dans la restauration du système. On va pouvoir finaliser :

1: Supress'tools

Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques : 

&#x25B6; Télécharge Supressstools de NicoVA sur ton Bureau 

&#9824; Sous XP : Double-clique sur Supressstools .exe
&#9824; Sous Vista : Fais un clic droit sur Supressstools .exe et sélectionne "Exécuter en tant qu'administrateur"

&#9824; Clique sur Recherche.

&#9824; Clique surS uppression pour finaliser.

&#9824;Copie et colle le rapport qui apparaitra 

&#9824; Clique sur Désinstaller.

Note: Le rapport (Report.txt) se trouve à la racine de votre disque dur (C:\)

------------------------------------------------------------------------

2: Ccleaner

&#x25B6; Télécharge Ccleaner

&#x25B6; Tutorial ICI

------------------------------------------------------------------------

3: Purger la restauration système

&#9824; Sous XP

&#8594; Désactiver la restauration du système

&#9830; Clic droit sur le Poste de travail&#8658;  Propriétés &#8658; Onglet Restauration du système &#8658; coche la case Désactiver la Restauration du système sur tous les lecteurs &#8658; Appliquer &#8658; Ok

&#8594; Ré-activer la restauration du système

&#9830; Suis le même chemin &#8658; décoche la case Désactiver la Restauration du système sur tous les lecteurs &#8658; Appliquer


 &#9824; Sous Vista/Seven

&#8594; Désactiver la restauration du système

&#9830; Clique droit sur Ordinateur &#8658;Propriétés &#8658; Paramètres système avancés &#8658; onglet Protection du Système &#8658;
Décoche tes partitions, un message de confirmation va apparaître  clique sur Désactiver la protection du système  &#8658; Appliquer &#8658; OK. 

&#8594; Ré-activer la restauration du système

&#9830; Suis le même chemin , décoche Désactiver la protection du système
  &#8658; Appliquer
 &#8658; OK. 

 Redemare le PC 

------------------------------------------------------------------------

4: Créer un point de restauration 

 &#8658; Sous XP et VISTA

------------------------------------------------------------------------

6: Mises à Jour importantes

 &#9824; Pour Windows

&#9830; Rends toi ICI

&#9830; Ferme toutes les applications en cours

 &#9824; Télécharge Update Checker

 &#9824; Voici un tutorial pour t'aider


Oublie pas de poster les rapports !

A+

luc · Answer

Voila c'est tout bon, je te remercie pour tous tes conseils et ta guidance.
je poste les logs:


¤¤¤¤¤¤¤ C:\Program Files\ ¤¤¤¤¤¤¤

ZHPdiag\ trouvé !

¤¤¤¤¤¤¤ C:\WINDOWS\Prefetch\ ¤¤¤¤¤¤¤


¤¤¤¤¤¤¤ Registre ¤¤¤¤¤¤¤


¤¤¤¤¤¤¤ Demande d'upload ¤¤¤¤¤¤¤ 


((((((((((((((( EOF )))))))))))))))


Rapport Supress'tools
Supress'tools a été éxécuté le 18/06/2010 à 15 : 56
Par jmerle
Système d'exploitation : WIN_XP / X86 / Service Pack 3
Mode | Suppression | 


¤¤¤¤¤¤¤ C:\ ¤¤¤¤¤¤¤


¤¤¤¤¤¤¤ D:\jmerle\Desktop\ ¤¤¤¤¤¤¤

ComboFix.exe Supprimé !

¤¤¤¤¤¤¤ D:\jmerle\My Documents\Téléchargements ¤¤¤¤¤¤¤


¤¤¤¤¤¤¤ C:\WINDOWS\ ¤¤¤¤¤¤¤


¤¤¤¤¤¤¤ C:\Documents and Settings\All Users\Start Menu\Programmes\ ¤¤¤¤¤¤¤


¤¤¤¤¤¤¤ C:\Program Files\  ¤¤¤¤¤¤¤


¤¤¤¤¤¤¤ C:\WINDOWS\Prefetch\ ¤¤¤¤¤¤¤


¤¤¤¤¤¤¤ Registre ¤¤¤¤¤¤¤


((((((((((((((( EOF )))))))))))))))

Je poste aussi le Ccleaner log avant reparation du registre.

Unused File Extension	.cfg - CFGFile	HKCR\.cfg
Installer Reference Issue	C:\WINDOWS\TEMP
siAA.tmp	HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders
Obsolete software key	Wget	HKCU\Software\Wget
Missing MUI Reference	C:\DOCUME~1\jmerle\LOCALS~1\Temp\fsonlinescanner.exe	HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Missing MUI Reference	D:\jmerle\Desktop\RSIT.exe	HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Missing MUI Reference	@C:\WINDOWS\system32\en-US\mstsc.exe.mui,-4004	HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Missing MUI Reference	C:\32788R22FWJFW\iexplore.exe	HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Missing MUI Reference	C:\32788R22FWJFW\hidec.exe	HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Missing MUI Reference	C:\32788R22FWJFW
.pif	HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Missing MUI Reference	C:\32788R22FWJFW
ircmd.cfxxe	HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Missing MUI Reference	C:\32788R22FWJFW\NirCmdC.cfxxe	HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Missing MUI Reference	C:\ComboFix\CF1379.cfxxe	HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Missing MUI Reference	C:\ComboFix\ERUNT.cfxxe	HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Missing MUI Reference	C:\ComboFix\NirCmd.cfxxe	HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Missing MUI Reference	C:\ComboFix\NircmdB.exe	HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Missing MUI Reference	C:\ComboFix\CF25828.cfxxe	HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Missing MUI Reference	C:\ComboFix\NirCmdC.cfxxe	HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Missing MUI Reference	C:\Documents and Settings\jmerle\Local Settings\Temporary Internet Files\Content.IE5\08OPTWXT\Supresstools[1].exe	HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Missing MUI Reference	C:\Documents and Settings\jmerle\Local Settings\Temporary Internet Files\Content.IE5\2MUEXAGU\ccsetup232[1].exe	HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache

Je crois que c'est tout bon.
Alors il me reste plus qu'a te remercier.
Sincerement merci beaucoup pour ton aide precieuse.
Je mesens un peu con, parceque je vois pas comment te rendre la pareille...
Merci enormement.

NicoVA · Answer

Salut !

Sincerement merci beaucoup pour ton aide precieuse.
Je me sens un peu con, parceque je vois pas comment te rendre la pareille...
Merci enormement.

Déjà le fait de m'avoir remercier et d'être resté(e) jusqu'au bout m'a fait très plaisir. 

Bon surf à toi !

NicoVA

Packed.Win32.Krap.gx infection

27 réponses

Discussions similaires