Besoin d'aide pour éliminer crypt.zpack.gen

Question

Bonjour, 
Configuration: Windows Vista / Firefox 3.6.4

Je suis malheureusement infectée par crypt.zpack.gen.

J'ai pu voir le sauvetage de plusieurs personnes dans le même cas, alors je me tourne vers vous.
Si j'ai bien compris je dois télécharger hi jack this ou combo fix. J'attends vos instructions et je vous remercie par avance de me sortir de ce pétrin !

Thanx 
Adeline

crapoulou · Accepted Answer

Bonsoir, On va entamer une procédure de désinfection adaptée à ta situation. ********* Désactive l'UAC (User Account Control) le temps de la désinfection. Démarrer > Panneau de configuration > Comptes d'utilisateurs > Désactiver le contrôle des comptes d'utilisateur. (Manipulation inverse pour le remettre en fin de désinfection). (Cela va permettre aux outils de désinfection de travailler correctement). ************ Pour établir un diagnostic plus en profondeur de ton PC : Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur le Bureau. = = = = >>> En cliquant ici <<< = = = = * Clique droit sur RSIT.exe puis sélectionne `Exécuter en tant qu'administrateur` pour le lancer. * Une première fenêtre s'ouvre, clique alors sur Continue (Disclaimer). * Si la dernière version de HijackThis n'est pas détectée sur ton PC, RSIT le téléchargera et te demandera d'accepter la licence. * Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-notes). * Poste le contenu de log.txt et de info.txt. Si tu as des soucis pour envoyer le fichier, héberge-le sur cijoint.fr. Aide en images.

jawaad35 · Answer

bonjour,

j'ai trouvé çà pour toi, notamment la réponse de rrpp
https://forums.commentcamarche.net/forum/affich-10888544-tr-crypt-zpack-gen

adlinoute · Answer

Merci. Oui j'ai bien vu les autres aides, mais il me semblait d'une part que la solution donnée individuellement n'était valable que pour la personne concernée, et qu'ensuite chaque "sauveteur" avait sa méthode. 
C'est pourquoi j'attendais des instructions.
Je me trompe ?

adlinoute · Answer

je vais essayer la méthode rrpp =) en croisant les doigts !

jawaad35 · Answer

Peut être as tu raison mais je pense que çà vaut le coup d'essayer, tiens moi au courant...

adlinoute · Answer

J'ai suivi la procédure mais là je viens de scanner le dossier contenant le cheval de troie et il est toujours là... :o(

adlinoute · Answer

Voilà, merci Crapoulou!


http://www.cijoint.fr/cjlink.php?file=cj201007/cijFim6KuX.txt
http://www.cijoint.fr/cjlink.php?file=cj201007/cijIEKNwf2.txt

crapoulou · Answer

Au risque de te décevoir, rien d'inquiétant sur ce rapport.
Quel est le fichier détecté comme infectieux par Antivir ?
Qu'as-tu fait ? (Supprimé, mis en quarantaine,ignoré, .. ?)
Est-ce qu'Antivir détecte toujours des éléments ?

adlinoute · Answer

Voici un extrait du rapport Antivir de ce matin.

Début de la désinfection :
C:\Windows\System32\drivers\hmqgafb.sys
    [RESULTAT]  Contient le cheval de Troie TR/Crypt.ZPACK.Gen
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004
    [AVERTISSEMENT] Impossible de trouver le fichier source.
    [REMARQUE]  Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
    [AVERTISSEMENT] Erreur dans la bibliothèque ARK
    [AVERTISSEMENT] Impossible de repérer le fichier pour sa suppression après le redémarrage. Cause possible : Un périphérique attaché au système ne fonctionne pas correctement.

J'ai demandé à Antivir de le supprimer mais il n'y est pas parvenu. Il m'a demandé de relancer un scan au redémarrage, sans plus de succès la deuxième fois. Ni la troisième...
Je peux relancer un scan, mais ça prend une heure. 

Comme j'ai dit j'ai scanné le dossier où il est censé être présent après la manip citée plus haut, et il était toujours là.

crapoulou · Answer

Je vaios me coucher. Essaye de voir si le fichier détecté est présent en affichant les fichiers cachés et système : Affiche les fichiers et dossiers cachés ainsi que les fichiers du système : - Mes documents - Outils - Options des dossiers - Onglet « Affichage » - Coche Afficher les fichiers et dossiers cachés - Décoche "Masquer les fichiers protégés du système d'exploitation (recommandé)" ************ Télécharge Malwarebytes' Anti-Malware = = = = >>> En cliquant ici <<< = = = = - Enregistre le sur le bureau - Double clique sur le fichier téléchargé pour lancer le processus d'installation - Lorsqu'il te le sera demandé, mets à jour Malwarebytes anti malware - Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes - Une fois la mise à jour terminée, ferme Malwarebytes - Double-clique sur l'icône de malwarebytes pour le relancer - Dans l'onglet, Recherche, probablement ouvert par défaut, - Sélectionne Exécuter un examen complet - Clique sur Rechercher - Le scan démarre - A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur `Afficher les résultats' pour afficher tous les objets trouvés. - Clique sur Ok pour poursuivre. - Si des malwares ont été détectés, cliques sur Afficher les résultats - Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. - Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. - Rends toi dans l'onglet rapport/log - Tu clique dessus pour l'afficher. - Une fois affiché, cliques sur édition en haut du bloc notes, et puis sur sélectionner tout - Tu recliques sur édition et puis sur copier et tu reviens sur le forum et dans ta réponse - Tu clique droit dans le cadre de la réponse et coller Si tu as besoin d'aide regarde ce tutorial ICI Bonne nuit et à demain (fin d'après-midi).

adlinoute · Answer

Merci, à demain ! Bonne nuit

adlinoute · Answer

et voilà pour Malwarebytes ! Crypt.zpack était toujours là.

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4281

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

03/07/2010 07:46:52
mbam-log-2010-07-03 (07-46-52).txt

Type d'examen: Examen complet (C:\|E:\|)
Elément(s) analysé(s): 241401
Temps écoulé: 1 heure(s), 23 minute(s), 4 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\System32\drivers\hmqgafb.sys (Backdoor.IEbooot) -> Quarantined and deleted successfully.
C:\Users\Adeline\AppData\Roaming\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.

Adlinoute · Answer

Re bonjour !

Bon alors ce qui est bizarre, c'est que le mal d'origine (redémarrages inopinés) n'a pas disparu après que Malwarebytes ait fait son travail !

Il y aurait donc un autre pb ?
Je vous transmettrai les captures d'écran des messages d'erreur ce soir.

Adlinoute · Answer

Voici les captures d'écran des alertes qui s'affichent, simultanément, sur mon pc à l'allumage.
http://www.cijoint.fr/cjlink.php?file=cj201007/cij1ONQziY.jpg
http://www.cijoint.fr/cjlink.php?file=cj201007/cijlnyLOBS.jpg

Il redémarre tout seul deux fois puis c'est bon, ça ne le fait plus. Cela fait trois jours que ça dure ;o/

J'avais donc cru que c'était de la faute de crypt.zpack mais il faut croire que non ??

Adlinoute · Answer

Personne n'est là ce soir ? Bon j'ai lancé Avira et il est toujours là... Que faire ?? Merci par avance Avira AntiVir Personal Date de création du fichier de rapport : mardi 6 juillet 2010 21:01 La recherche porte sur 2300671 souches de virus. Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus Numéro de série : 0000149996-ADJIE-0000001 Plateforme : Windows Vista Version de Windows : (Service Pack 2) [6.0.6002] Mode Boot : Démarré normalement Identifiant : SYSTEM Nom de l'ordinateur : PC-DE-ADELINE Informations de version : BUILD.DAT : 9.0.0.77 21698 Bytes 09/06/2010 12:01:00 AVSCAN.EXE : 9.0.3.10 466689 Bytes 23/05/2010 12:09:13 AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02 LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11 LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 12:09:12 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 12:09:12 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 12:09:12 VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 12:09:12 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 12:09:12 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 12:09:13 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02/06/2010 20:39:47 VBASE007.VDF : 7.10.7.219 2048 Bytes 02/06/2010 20:39:47 VBASE008.VDF : 7.10.7.220 2048 Bytes 02/06/2010 20:39:48 VBASE009.VDF : 7.10.7.221 2048 Bytes 02/06/2010 20:39:49 VBASE010.VDF : 7.10.7.222 2048 Bytes 02/06/2010 20:39:49 VBASE011.VDF : 7.10.7.223 2048 Bytes 02/06/2010 20:39:50 VBASE012.VDF : 7.10.7.224 2048 Bytes 02/06/2010 20:39:50 VBASE013.VDF : 7.10.8.37 270336 Bytes 10/06/2010 21:20:16 VBASE014.VDF : 7.10.8.69 138752 Bytes 14/06/2010 19:56:10 VBASE015.VDF : 7.10.8.102 130560 Bytes 16/06/2010 20:53:28 VBASE016.VDF : 7.10.8.135 152064 Bytes 21/06/2010 19:39:57 VBASE017.VDF : 7.10.8.163 432128 Bytes 23/06/2010 21:04:20 VBASE018.VDF : 7.10.8.194 133632 Bytes 27/06/2010 20:21:47 VBASE019.VDF : 7.10.8.220 134656 Bytes 29/06/2010 20:21:42 VBASE020.VDF : 7.10.8.252 171520 Bytes 04/07/2010 18:49:32 VBASE021.VDF : 7.10.8.253 2048 Bytes 04/07/2010 18:49:32 VBASE022.VDF : 7.10.8.254 2048 Bytes 04/07/2010 18:49:33 VBASE023.VDF : 7.10.8.255 2048 Bytes 04/07/2010 18:49:33 VBASE024.VDF : 7.10.9.0 2048 Bytes 04/07/2010 18:49:33 VBASE025.VDF : 7.10.9.1 2048 Bytes 04/07/2010 18:49:33 VBASE026.VDF : 7.10.9.2 2048 Bytes 04/07/2010 18:49:33 VBASE027.VDF : 7.10.9.3 2048 Bytes 04/07/2010 18:49:33 VBASE028.VDF : 7.10.9.4 2048 Bytes 04/07/2010 18:49:34 VBASE029.VDF : 7.10.9.5 2048 Bytes 04/07/2010 18:49:34 VBASE030.VDF : 7.10.9.6 2048 Bytes 04/07/2010 18:49:34 VBASE031.VDF : 7.10.9.16 131072 Bytes 06/07/2010 18:49:35 Version du moteur : 8.2.4.10 AEVDF.DLL : 8.1.2.0 106868 Bytes 23/05/2010 12:09:13 AESCRIPT.DLL : 8.1.3.39 1335674 Bytes 06/07/2010 18:49:38 AESCN.DLL : 8.1.6.1 127347 Bytes 23/05/2010 12:09:13 AESBX.DLL : 8.1.3.1 254324 Bytes 23/05/2010 12:09:13 AERDL.DLL : 8.1.4.6 541043 Bytes 23/05/2010 12:09:13 AEPACK.DLL : 8.2.2.5 430453 Bytes 23/06/2010 21:04:31 AEOFFICE.DLL : 8.1.1.6 201081 Bytes 06/07/2010 18:49:37 AEHEUR.DLL : 8.1.1.38 2724214 Bytes 23/06/2010 21:04:30 AEHELP.DLL : 8.1.11.6 242038 Bytes 23/06/2010 21:04:26 AEGEN.DLL : 8.1.3.13 381300 Bytes 06/07/2010 18:49:36 AEEMU.DLL : 8.1.2.0 393588 Bytes 23/05/2010 12:09:13 AECORE.DLL : 8.1.15.3 192886 Bytes 23/05/2010 12:09:13 AEBB.DLL : 8.1.1.0 53618 Bytes 23/05/2010 12:09:13 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30 AVPREF.DLL : 9.0.3.0 44289 Bytes 23/05/2010 12:09:13 AVREP.DLL : 8.0.0.7 159784 Bytes 23/05/2010 12:09:14 AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42 AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57 NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 23/05/2010 12:09:11 RCTEXT.DLL : 9.0.73.0 88321 Bytes 23/05/2010 12:09:11 Configuration pour la recherche actuelle : Nom de la tâche...............................: Contrôle intégral du système Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp Documentation.................................: bas Action principale.............................: interactif Action secondaire.............................: ignorer Recherche sur les secteurs d'amorçage maître..: marche Recherche sur les secteurs d'amorçage.........: marche Secteurs d'amorçage...........................: C:, E:, Recherche dans les programmes actifs..........: marche Recherche en cours sur l'enregistrement.......: marche Recherche de Rootkits.........................: marche Contrôle d'intégrité de fichiers système......: arrêt Fichier mode de recherche.....................: Tous les fichiers Recherche sur les archives....................: marche Limiter la profondeur de récursivité..........: 20 Archive Smart Extensions......................: marche Heuristique de macrovirus.....................: marche Heuristique fichier...........................: moyen Début de la recherche : mardi 6 juillet 2010 21:01 La recherche d'objets cachés commence. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\hmqgafb ype [INFO] L'entrée d'enregistrement n'est pas visible. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\hmqgafb\start [INFO] L'entrée d'enregistrement n'est pas visible. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\hmqgafb\errorcontrol [INFO] L'entrée d'enregistrement n'est pas visible. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\hmqgafb\group [INFO] L'entrée d'enregistrement n'est pas visible. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\hmqgafb\cr0wnbx2s0 [INFO] L'entrée d'enregistrement n'est pas visible. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\hmqgafb\p4mcq5 [INFO] L'entrée d'enregistrement n'est pas visible. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\hmqgafb\ybjj2jl [INFO] L'entrée d'enregistrement n'est pas visible. '100134' objets ont été contrôlés, '7' objets cachés ont été trouvés. La recherche sur les processus démarrés commence : Processus de recherche 'WmiPrvSE.exe' - '1' module(s) sont contrôlés Processus de recherche 'OIS.EXE' - '1' module(s) sont contrôlés Processus de recherche 'plugin-container.exe' - '1' module(s) sont contrôlés Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés Processus de recherche 'SynTPHelper.exe' - '1' module(s) sont contrôlés Processus de recherche 'TosBtHSP.exe' - '1' module(s) sont contrôlés Processus de recherche 'HCMSoundChanger.exe' - '1' module(s) sont contrôlés Processus de recherche 'igfxext.exe' - '1' module(s) sont contrôlés Processus de recherche 'CFSwMgr.exe' - '1' module(s) sont contrôlés Processus de recherche 'TosBtHid.exe' - '1' module(s) sont contrôlés Processus de recherche 'GoogleDesktop.exe' - '1' module(s) sont contrôlés Processus de recherche 'TosA2dp.exe' - '1' module(s) sont contrôlés Processus de recherche 'ehmsas.exe' - '1' module(s) sont contrôlés Processus de recherche 'wmpnetwk.exe' - '1' module(s) sont contrôlés Processus de recherche 'wmpnscfg.exe' - '1' module(s) sont contrôlés Processus de recherche 'TosBtMng.exe' - '1' module(s) sont contrôlés Processus de recherche 'ehtray.exe' - '1' module(s) sont contrôlés Processus de recherche 'sidebar.exe' - '1' module(s) sont contrôlés Processus de recherche 'uTorrent.exe' - '1' module(s) sont contrôlés Processus de recherche 'TOSCDSPD.exe' - '1' module(s) sont contrôlés Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés Processus de recherche 'igfxsrvc.exe' - '1' module(s) sont contrôlés Processus de recherche 'GoogleDesktop.exe' - '1' module(s) sont contrôlés Processus de recherche 'GoogleEULALauncher.exe' - '1' module(s) sont contrôlés Processus de recherche 'HDMICtrlMan.exe' - '1' module(s) sont contrôlés Processus de recherche 'hkcmd.exe' - '1' module(s) sont contrôlés Processus de recherche 'NDSTray.exe' - '1' module(s) sont contrôlés Processus de recherche 'igfxpers.exe' - '1' module(s) sont contrôlés Processus de recherche 'QTTask.exe' - '1' module(s) sont contrôlés Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés Processus de recherche 'SynTPEnh.exe' - '1' module(s) sont contrôlés Processus de recherche 'realsched.exe' - '1' module(s) sont contrôlés Processus de recherche 'TemproTray.exe' - '1' module(s) sont contrôlés Processus de recherche 'winampa.exe' - '1' module(s) sont contrôlés Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés Processus de recherche 'SmartFaceVWatchSrv.exe' - '1' module(s) sont contrôlés Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés Processus de recherche 'XAudio.exe' - '1' module(s) sont contrôlés Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'ULCDRSvr.exe' - '1' module(s) sont contrôlés Processus de recherche 'TosIPCSrv.exe' - '1' module(s) sont contrôlés Processus de recherche 'TosBtSrv.exe' - '1' module(s) sont contrôlés Processus de recherche 'TosCoSrv.exe' - '1' module(s) sont contrôlés Processus de recherche 'TODDSrv.exe' - '1' module(s) sont contrôlés Processus de recherche 'TNaviSrv.exe' - '1' module(s) sont contrôlés Processus de recherche 'TemproSvc.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'o2flash.exe' - '1' module(s) sont contrôlés Processus de recherche 'CFSvcs.exe' - '1' module(s) sont contrôlés Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'PresentationFontCache.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés Processus de recherche 'services.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés '79' processus ont été contrôlés avec '79' modules La recherche sur les secteurs d'amorçage maître commence : Secteur d'amorçage maître HD0 [INFO] Aucun virus trouvé ! La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'E:\' [INFO] Aucun virus trouvé ! La recherche sur les renvois aux fichiers exécutables (registre) commence : Le registre a été contrôlé ( '52' fichiers). La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' C:\hiberfil.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! [REMARQUE] Ce fichier est un fichier système Windows. [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. C:\pagefile.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! [REMARQUE] Ce fichier est un fichier système Windows. [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. C:\Program Files\7-Zip\Uninstall.exe [AVERTISSEMENT] Mémoire insuffisante ! Le virus ou le programme indésirable n'a pas été supprimé ! C:\Users\Adeline\AppData\Local\Mozilla\Firefox\Profiles\1vqc7bse.default\Cache\5A0898ABd01 [0] Type d'archive: GZ --> unkwn [RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Infected.WebPage.Gen C:\Windows\System32\drivers\hmqgafb.sys [RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen [AVERTISSEMENT] Impossible d'ouvrir le fichier ! Recherche débutant dans 'E:\' E:\Programmes\7z465.exe [AVERTISSEMENT] Mémoire insuffisante ! Le virus ou le programme indésirable n'a pas été supprimé ! Début de la désinfection : C:\Users\Adeline\AppData\Local\Mozilla\Firefox\Profiles\1vqc7bse.default\Cache\5A0898ABd01 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c63964c.qua' ! C:\Windows\System32\drivers\hmqgafb.sys [RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen [AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004 [AVERTISSEMENT] Impossible de trouver le fichier source. [REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK. [AVERTISSEMENT] Erreur dans la bibliothèque ARK [AVERTISSEMENT] Impossible de repérer le fichier pour sa suppression après le redémarrage. Cause possible : Un périphérique attaché au système ne fonctionne pas correctement. Fin de la recherche : mardi 6 juillet 2010 22:46 Temps nécessaire: 1:06:32 Heure(s) La recherche a été effectuée intégralement 21054 Les répertoires ont été contrôlés 323042 Des fichiers ont été contrôlés 2 Des virus ou programmes indésirables ont été trouvés 0 Des fichiers ont été classés comme suspects 0 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 1 Les fichiers ont été déplacés dans la quarantaine 0 Les fichiers ont été renommés 3 Impossible de contrôler des fichiers 323037 Fichiers non infectés 2450 Les archives ont été contrôlées 5 Avertissements 4 Consignes 100134 Des objets ont été contrôlés lors du Rootkitscan 7 Des objets cachés ont été trouvés

jfkpresident · Answer

EDIT : Bonne continuation a vous deux -;)

***Membre Contributeur Sécurité***

crapoulou · Answer

Télécharge Combofix : = = = = >>> En cliquant ici <<< = = = = * On va enregistrer ce fichier sur le Bureau : pour cela, sur le panneau de gauche, clique sur le Bureau. * Clique enfin sur le bouton Enregistrer en bas de page à droite. * Assure toi que tous les programmes sont fermés avant de lancer le fix ! Ne lance pas le fix tout de suite ! * Fais un clic droit sur combofix.exe et sélectionne "Exécuter en mode administrateur". * Clique sur Oui au message de Limitation de Garantie qui s'affiche. * Il est possible que ton pare-feu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure : accepte ! Note : Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide ! * Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message. * Note : Le rapport se trouve également là : C:\ComboFix.txt

crapoulou · Answer

Transfère le rapport sur clé USB depuis un autre PC puis poste le ici.
Essaye de redémarrer le PC.

crapoulou · Answer

Combofix n'a rien supprimé.
Je regarde ça de plus près.
A + tard.

crapoulou · Answer

Combofix n'a rien supprimé. En fichiers. ********* Tu avaios McAfee comme Antivirus avant et tu es passé à Avast c'est ça ? Tu as des traces de McAfee, il faut les supprimer. Si tu trouves McAfee dans la liste des programmes, désinstalle-le. ************** Télécharge SEAF.exe de C_XX sur ton bureau : = = = = =>>> En cliquant ici <<<= = = = = * Clique droit sur SEAF.exe et sélectionne "Exécuter en tant qu'administrateur" pour le lancer. * Une fenêtre va s'ouvrir. * Copie-colle ceci dans la barre de recherche blanche hmqgafb, cfFncEnabler, comboFix-quarantined-files * Coche sur la droite : "Chercher également dans le registre" * Coche en bas "Afficher les ADS" et "Informations supplémentaires" tape sur [Entrée] * Clique ensuite sur "Lancer la recherche". * Patiente pendant la recherche. * Une fenêtre avec un rapport au format ".txt" va s'afficher. * Copie/colle ce rapport dans ta prochaine réponse. ******* Pour moi : [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hmqgafb] c:\users\Adeline\AppData\Roaming\qcopjv.dat Deleted : *Deregistered* - hmqgafb HKLM-Run-cfFncEnabler.exe - cfFncEnabler.exe

crapoulou · Answer

Envoie-moi le contenu de ce fichier stp : c:\Qoobox\ComboFix-quarantined-files.txt ******** /!\ Procédure réservée à Adlinoute. Ne tentez pas de la reproduire si vous avez un problème similaire sous peine de planter votre machine /!\ Télécharge OTM (de Old_Timer) sur ton Bureau. = = = = >>> En cliquant ici <<< = = = = Une fois installé sur le bureau, clique droit sur OTM.exe puis `Exécuter en tant qu'administrateur`pour le lancer. Copie la liste qui se trouve en gras ci-dessous, et colle-la dans le cadre de gauche de OTMoveIt : Paste Instructions for Items to be moved. :Procedure is : :files c:\Windows\System32\drivers\hmqgafb.sys :reg [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HMQGAFB] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_HMQGAFB] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HMQGAFB] :Services hmqgafb :Commands [purity] [emptytemp] [Reboot] Clique sur MoveIt! pour lancer la suppression. Après avoir fait Moveit!, une fenêtre s'affiche : "The system requires a reboot to finish removing files. Do you want to reboot now ?" Réponds Yes. Le résultat apparaîtra dans le cadre "Results". Clique sur Exit pour fermer. Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

crapoulou · Answer

Tu as bien redémarré ton PC ?
Une amélioration constatée ?

Pour optimiser le temps, fais une nouvelle analyse rapide avec MBAM pour vérification.
Poste le rapport.

Je te laisse pour ce soir.
Bonne nuit et à demain.

crapoulou · Answer

Si j'ai bien compris, c'est un échec..
De quoi donc ?

crapoulou · Answer

Oui, il est très coriace.
Via l'explorateur, est-ce que tu trouves ce fichier ou pas ?
Il se peut qu'il ne soit plus sur le PC !

crapoulou · Answer

Par mesure de précaution, sauvegarde tes données car ton PC me semble très instable. (Ne sauvegarde que les documents, pas d'exécutables, ...) ********** Télécharge ZHPDiag sur ton bureau : = = = = =>>>En cliquant ici <<<= = = = = = Une fois le téléchargement achevé, clique droit sur ZHPDiag.exe et sélectionne "Exécuter en tant qu'administrateur". Suis les instructions. N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. Clique droit sur le raccourci ZHPDiag sur ton Bureau et sélectionne "Exécuter en tant qu'administrateur" pour le lancer. /!\ L'outil a créé 2 icônes ZHPDiag et ZHPFix /!\ Clique sur la loupe pour lancer l'analyse. Laisse l'outil travailler, il peut être assez long. Ferme ZHPDiag en fin d'analyse. Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). Sélectionne le fichier ZHPDiag.txt. Clique sur "Cliquez ici pour déposer le fichier". Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page. Copie ce lien dans ta réponse. Aide en images pour poster un rapport sur cijoint.

crapoulou · Answer

Tant que tu n'en a pas marre et que tu ne pète pas un plomb, on va essayer d'en venir à bout sans réinstallation.

Télécharge The Avenger par Swandog46 sur ton Bureau:

http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

Click sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur votre bureau


. Maintenant, lance The Avenger en cliquant sur son icône du bureau.
. Copie tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Drivers to disable:
hmqgafb
Drivers to delete:
hmqgafb
Files to delete:
C:\Windows\System32\drivers\hmqgafb.sys

. Colle ce texte (Ctrl+V) dans le cadre :Input script here

. Appuie sur Execute

. Le pc va redémarrer

. Colle le rapport qui aparaitra.

crapoulou · Answer

Ok.
Tiens moi au courant après la réinstallation malgré tout !
Bonne soirée.

archet9 · Answer

Greee...faudrait un scrippt combo  !!!!!

archet9 · Answer

Pas le temps de tout relire (dodo car bouolt demain).....
Voir Combo en MSE peut être ?

a+

crapoulou · Answer

Mets bien à jour les logiciels téléchargés, tes navigateurs Internet.

Besoin d'aide pour éliminer crypt.zpack.gen

30 réponses

Votre réponse

Discussions similaires

Newsletters