Problème virus TK/crypt.ZPACK.gen aidez-moi

Roberto -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

J'ai un problème avec mon PC. Mon antivirus (Avira) me sollicite régulièrement en disant qu'un virus entre d'entrer dans mon PC. Son nom: TK/crypt.ZPACK.gen

C'est très embêtant.

Quelqu'un peut-il m'aider?

Merci beaucoup!

5 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    OK TDSS...

    Désactive les logiciels de protection (Antivirus, Antispywares) puis :

    Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!

    Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.

    Eventuellement, installe la console de récupération comme cela est conseillé

    Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
    Si le rapport ne passe pas, envoie le sur ce site : http://www.cijoint.fr/
    et donne le lien ici :)

    Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

    Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

    2
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      still alive ?
      0
    2. Roberto2110 Messages postés 7 Statut Membre
       
      Je n'arrive pas à poster. Il me dit que oui mais non. Je t'ai envoyé un MP hier ou avant-hier
      0
    3. Roberto2110 Messages postés 7 Statut Membre
       
      Apparemment en réponse rapide ça marche.
      Voici le rapport que m'a donné Combofix:

      http://cjoint.com/data/hymIMbpLm2.htm
      0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Télécharge GMER à partir de ce lien : http://www.gmer.net#files - clic sur "Download EXE" et télécharge le fichier sur ton bureau.
    Voir le tutorial GMER, ça peut peut-être t'aider : https://www.malekal.com/tutorial-gmer/

    Désactive tes logiciels de protection (antivirus, antispyware etc) et ferme tous les programmes ouverts.
    Double-clic sur le fichier GMER téléchargé.
    [b]IMPORTANT:[/b] Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
    Clic sur l'onglet "rootkit"
    Laisse tout coché.
    Clic sur Scan
    Lorsque le scan est terminé, clic sur "Copy"

    Ouvre le bloc-note et clic sur le Menu Edition / Coller
    Le rapport doit alors apparaître.
    Enregistre le fichier sur ton bureau et copie/colle le contenu ici.
    1
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Dans quel fichier c'est détecté?
    0
  4. Roberto2110 Messages postés 7 Statut Membre
     
    Marrant, dès que je viens sur ce forum e t je me dis "mince je sais pas", le virus revient. Donc, il se trouve dans C:/WINDOWS/Temp/bdlf.tmp/setup.exe

    Je mets "supprimer" à chaque fois, ça ne marche pas.
    J'ai eu un virus avant-hier soir, un truc pas possible, un gros boxon. J'ai restauré mon PC, tout est parti, mais depuis il y a ça.

    J'en ai un autre qui vient d'apparaître, c'est dans:
    C:/WINDOWS/Temp/ediu.tmp/setup.exe
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Roberto2110 Messages postés 7 Statut Membre
     
    Salut.
    Désolé pour le retard. Mon PC a planté hier avec Combofix et j'étais toute la journée au boulot aujourd'hui.
    J'ai le rapport.
    A noter que lors de ma tentative hier, deux nouvelles intrusions ont été stoppées.
    La première se nomme TR/Patched.Gen et se trouvait dans C:/Qoobox/32788R22FWJFW/WudfPf.sys

    La deuxième se nommait RKIT/Bubnix.EL et se trouvait dans C:/Windows/system32/Drivers/vknhbkhd.sys

    Bref, voici le rapport:

    ComboFix 10-07-20.01 - William 22/07/2010 0:13.2.2 - x86
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1977.1434 [GMT 2:00]
    Lancé depuis: c:\documents and settings\William\Bureau\ComboFix.exe
    AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    ---- Exécution préalable -------
    .
    c:\documents and settings\William\Application Data\2CFC749864E7F5FA18ACF95C81C2B4FB
    c:\documents and settings\William\Application Data\2CFC749864E7F5FA18ACF95C81C2B4FB\enemies-names.txt

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-06-21 au 2010-07-21 ))))))))))))))))))))))))))))))))))))
    .

    2010-07-18 23:35 . 2010-07-18 23:35 -------- d-----w- c:\windows\system32\wbem\Repository
    2010-07-18 23:30 . 2010-07-18 23:30 -------- d-----w- c:\documents and settings\Administrateur\IETldCache
    2010-07-18 23:30 . 2010-07-18 23:34 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Microsoft
    2010-07-18 23:30 . 2010-07-18 23:34 -------- d-----w- c:\documents and settings\Administrateur\Modèles
    2010-07-18 23:30 . 2010-07-18 23:34 -------- d-s---w- c:\documents and settings\Administrateur
    2010-07-18 22:02 . 2010-07-18 22:02 0 ----a-w- c:\windows\system32\perf73845.dat
    2010-07-13 19:07 . 2010-06-14 14:31 744448 -c----w- c:\windows\system32\dllcache\helpsvc.exe

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-07-21 22:05 . 2010-05-06 23:27 -------- d-----w- c:\program files\Fichiers communs\Akamai
    2010-07-20 19:30 . 2010-03-27 08:00 -------- d-----w- c:\program files\RomStation
    2010-07-18 22:05 . 2009-12-05 22:51 -------- d-----w- c:\documents and settings\William\Application Data\HPAppData
    2010-07-13 21:05 . 2009-07-11 17:27 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
    2010-07-02 09:48 . 2009-07-11 17:42 -------- d-----w- c:\program files\Fichiers communs\Adobe
    2010-06-24 21:30 . 2001-09-28 12:00 81824 ----a-w- c:\windows\system32\perfc00C.dat
    2010-06-24 21:30 . 2001-09-28 12:00 503894 ----a-w- c:\windows\system32\perfh00C.dat
    2010-06-20 13:46 . 2009-07-12 20:13 -------- d-----w- c:\program files\GTA2
    2010-06-14 20:43 . 2009-12-05 22:46 -------- d-----w- c:\documents and settings\William\Application Data\HP
    2010-06-14 14:31 . 2009-07-11 12:13 744448 ----a-w- c:\windows\PCHEALTH\HELPCTR\Binaries\helpsvc.exe
    2010-06-06 10:17 . 2009-07-11 12:33 110344 ----a-w- c:\documents and settings\William\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2010-06-05 10:20 . 2010-05-06 22:01 -------- d-----w- c:\program files\Pinnacle
    2010-06-05 10:16 . 2010-05-07 08:14 -------- d-----w- c:\program files\MAGIX
    2010-06-05 10:16 . 2010-05-07 08:14 -------- d-----w- c:\documents and settings\All Users\Application Data\MAGIX
    2010-06-05 10:11 . 2010-05-07 08:11 -------- d-----w- c:\program files\Fichiers communs\MAGIX Services
    2010-06-04 09:25 . 2010-02-18 10:40 -------- d-----w- c:\program files\Microsoft Silverlight
    2010-06-02 09:58 . 2010-06-02 09:55 23799 ----a-w- c:\windows\hpqins15.dat
    2010-05-24 01:02 . 2010-05-24 01:02 503808 ----a-w- c:\documents and settings\William\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-2e2d5e3b-n\msvcp71.dll
    2010-05-24 01:02 . 2010-05-24 01:02 499712 ----a-w- c:\documents and settings\William\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-2e2d5e3b-n\jmc.dll
    2010-05-24 01:02 . 2010-05-24 01:02 348160 ----a-w- c:\documents and settings\William\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-2e2d5e3b-n\msvcr71.dll
    2010-05-06 10:33 . 2001-09-28 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
    2010-05-02 08:08 . 2001-09-28 12:00 1851392 ----a-w- c:\windows\system32\win32k.sys
    2009-01-27 01:34 . 2009-07-12 20:18 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
    2009-01-27 01:34 . 2009-07-12 20:18 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2008-04-15 488752]
    "IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-03-13 141336]
    "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-03-13 173592]
    "Persistence"="c:\windows\system32\igfxpers.exe" [2009-03-13 142360]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-04-23 1434920]
    "Cpqset"="c:\program files\Hewlett-Packard\Default Settings\cpqset.exe" [2008-05-14 61440]
    "QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2009-06-03 284728]
    "SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2008-12-11 1044480]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
    "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-05-26 413696]
    "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
    "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
    "Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

    c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
    HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2009-5-21 275768]
    Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2009-7-12 83360]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
    @="Driver"

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    "c:\\Program Files\\EA GAMES\\MOHDA\\MOHAA.exe"=
    "c:\\Program Files\\Ares\\Ares.exe"=
    "c:\\Program Files\\Counter Strike 1.6\\hl.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Documents and Settings\\William\\temp\\TeamViewer\\Version5\\TeamViewer.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqcopy2.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfcCopy.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqusgm.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqusgh.exe"=
    "c:\\Program Files\\HP\\HP Software Update\\HPWUCli.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\smart web printing\\SmartWebPrintExe.exe"=

    R0 SFAUDIO;Sonic Focus DSP Driver;c:\windows\system32\drivers\sfaudio.sys [28/03/2008 10:14 24064]
    R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [28/09/2001 14:00 14336]
    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [14/07/2009 00:06 108289]
    R2 DisplayLinkService;DisplayLink Service;c:\program files\DisplayLink Core Software\DisplayLinkService.exe [10/03/2009 07:47 447848]
    R3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [11/07/2009 17:26 228408]
    S3 GTFFBUS;GT FF BUS;c:\windows\system32\drivers\gtffbus.sys [19/05/2010 16:05 17152]
    S3 GTMMDMUSB;GT M 3G+ USB MDM;c:\windows\system32\drivers\gtmmdmusb.sys [19/05/2010 16:05 25472]
    S3 GTMNDISIRPXP;GT M 3G+ IRP NDIS;c:\windows\system32\drivers\Gtm51Irp.sys [19/05/2010 16:05 122240]
    S3 GTMSERUSB;GT M 3G+ USB SER;c:\windows\system32\drivers\gtmserusb.sys [19/05/2010 16:05 21888]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
    HPService REG_MULTI_SZ HPSLPSVC
    hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
    Akamai REG_MULTI_SZ Akamai
    .
    Contenu du dossier 'Tâches planifiées'

    2010-07-08 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

    2010-07-21 c:\windows\Tasks\OGALogon.job
    - c:\windows\system32\OGAEXEC.exe [2009-08-03 13:07]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
    IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
    IE: Envoyer à Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
    FF - ProfilePath - c:\documents and settings\William\Application Data\Mozilla\Firefox\Profiles\674vpj6y.default\
    FF - plugin: c:\documents and settings\William\Application Data\Facebook\npfbplugin_1_0_1.dll
    FF - plugin: c:\documents and settings\William\Application Data\Facebook\npfbplugin_1_0_3.dll
    FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
    FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\npOGAPlugin.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

    ---- PARAMETRES FIREFOX ----
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    AddRemove-Agere Systems Soft Modem - c:\windows\agrsmdel
    AddRemove-Utilitaires Sierra - c:\program files\Sierra On-Line\sutil32.exe

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-07-22 00:18
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    Cpqset = c:\program files\Hewlett-Packard\Default Settings\cpqset.exe???????????????????????|?M?|?????M?|??@

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    Heure de fin: 2010-07-22 00:20:24
    ComboFix-quarantined-files.txt 2010-07-21 22:20

    Avant-CF: 49 780 883 456 octets libres
    Après-CF: 49 741 205 504 octets libres

    - - End Of File - - 12BEFB60EE1CD7E81A4F352B231D3329
    0