Eliminer TR/Crypt XPACK.Gen

Question

Bonjour, 
j'ai un probléme avec ce virus que je n'arrive pas à enlever
quelqu'un pourrait-il m'aider ?
merci d'avance


Configuration: Windows XP / Internet Explorer 7.0

Smart91 · Answer

Bonjour,

As-tu le rapport de ton antivirus qui détecte le virus ?
Sinon on peut un diagnostic de ton PC:
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer. 
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
-  Clique sur la loupe pour lancer l'analyse. 
-  Laisse l'outil travailler, il peut être assez long. 
-  Ferme ZHPDiag en fin d'analyse. 
-  Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ 
-  Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 
-  Sélectionne le fichier ZHPDiag.txt. 
-  Clique sur "Cliquez ici pour déposer le fichier". 
-  Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page. 
-  Copie ce lien dans ta réponse.

Smart

erico · Answer

voici le lien
http://www.cijoint.fr/cjlink.php?file=cj201011/cij0abR2tx.txt

Smart91 · Answer

En effet tu as des infections qu ien particulier affecte le centre de sécurité de windows.

-  Télécharge Malwarebytes
-  Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
-  Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation) 
-  Lance une analyse complète en cliquant sur "Exécuter un examen complet"
-  Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
-  L'analyse peut durer un bon moment.....
-  Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
-  Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
-  Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

Smart

erico · Answer

voiMalwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 5143

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

18/11/2010 17:14:27
mbam-log-2010-11-18 (17-14-27).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 251585
Temps écoulé: 3 heure(s), 26 minute(s), 4 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Winsudate (Adware.GibMedia) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Program Files\Alwil Software\Avast5\chrome\ChromeInst.exe (Trojan.Startpage) -> Delete on reboot.
ci le rapport de malaware

Smart91 · Answer

Ok on a bien avancé
Relance MBAM et vide la quarantaine
Refais un scan ZHPDiag et poste le rapport via cijoint

Smart

erico · Answer

le fichier zhp a été posté via ci-joint
eric

Smart91 · Answer

OK. Mais il faut me donner le lien cijoint pour y avoir accés

Smart

erico · Answer

c'est vrai que ce sera mieux comme ca
merci
http://www.cijoint.fr/cjlink.php?file=cj201011/cijlcBADdx.txt

Smart91 · Answer

Il reste encore des traces et en particulier des barres d'outils infectées.
Lis le bien le dossier ci-dessous:
Les Toolbars ce n'est pas obligatoires 
Ensuite tu fais ceci:
-  Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : http://www.teamxscript.org/adremoverTelechargement.html
- Clique sur TÉLÉCHARGER et enregistre-le sur ton bureau.
- Déconnecte toi et ferme toutes les applications en cours 
- Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.  
- Au menu principal choisi l'option "Nettoyage" et tape sur [entrée] . 
- Laisse travailler l'outil et ne touche à rien ... 
- Poste le rapport qui apparait à la fin. (Le rapport est sauvegardé aussi sous C:\Ad-report.log) 
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

Note : 
Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Smart

erico · Answer

voici l======= RAPPORT D'AD-REMOVER 2.0.0.2,B | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 11/11/10 à 11:40
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 20:37:39 le 18/11/2010, Mode normal

Microsoft Windows XP Professionnel Service Pack 2 (X86) 
eric@ERIC-L5IF2K3Z97 ( ) 
 
============== ACTION(S) ==============


Dossier supprimé: C:\Documents and Settings\eric\Local Settings\Application Data\Conduit
Dossier supprimé: C:\Program Files\Conduit
Dossier supprimé: C:\Documents and Settings\eric\Local Settings\Application Data\ConduitEngine
Dossier supprimé: C:\Program Files\ConduitEngine
Dossier supprimé: C:\Program Files\Family Toolbar
Dossier supprimé: C:\Documents and Settings\eric\Application Data\PriceGong

(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Classes\CLSID\{17022C5F-A08C-4626-A966-988B7FB347A6}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{17022C5F-A08C-4626-A966-988B7FB347A6}
Clé supprimée: HKLM\Software\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKLM\Software\Classes\CLSID\{6D023EBF-70B8-45A6-9ED5-556515FA0FE4}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6D023EBF-70B8-45A6-9ED5-556515FA0FE4}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{6D023EBF-70B8-45A6-9ED5-556515FA0FE4}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D023EBF-70B8-45A6-9ED5-556515FA0FE4}
Clé supprimée: HKLM\Software\Classes\CLSID\{D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A}
Clé supprimée: HKLM\Software\Classes\CLSID\{F42C7B47-5234-4BF5-8882-DAAC0D64870E}
Clé supprimée: HKLM\Software\Classes\Interface\{F42C7B47-5234-4BF5-8882-DAAC0D64870E}
Clé supprimée: HKLM\Software\Classes\Interface\{F7BEBBB1-7E6B-4561-9444-6F4866D60C7D}
Clé supprimée: HKLM\Software\Classes\TypeLib\{DC3020B4-815F-427B-A5DA-82DC6634EBAD}
Clé supprimée: HKLM\Software\Classes\TypeLib\{F0CF944C-F160-4F65-8F0A-2773322FF357}
Clé supprimée: HKLM\Software\Classes\DiscoveryHelper.iMesh6Discovery
Clé supprimée: HKLM\Software\Classes\DiscoveryHelper.iMesh6Discovery.1
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2567681
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2719315
Clé supprimée: HKLM\Software\Conduit
Clé supprimée: HKLM\Software\conduitEngine
Clé supprimée: HKCU\Software\Conduit
Clé supprimée: HKCU\Software\conduitEngine
Clé supprimée: HKCU\Software\PriceGong
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{4F390E86-8944-477F-980D-7F21898D73C5}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.5.15 (fr)] **

-- C:\Documents and Settings\eric\Application Data\Mozilla\FireFox\Profiles\8hy4hxjl.default\Prefs.js --
browser.startup.homepage_override.mstone, rv:1.9.1.15

-- C:\Documents and Settings\Maïwenn\Application Data\Mozilla\FireFox\Profiles\wg5luumk.default\Prefs.js --
browser.startup.homepage_override.mstone, rv:1.9.1.10

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 271 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 18/11/2010 (4994 Octet(s)) 

Fin à: 20:40:46, 18/11/2010 
 
============== E.O.F ============== 
e rapport

Smart91 · Answer

On arrive au bout. Refais un scan ZHPDiag et poste le rapport via cijoint pour une dernière vérification

Smart

erico · Answer

voici le dernier lien
http://www.cijoint.fr/cjlink.php?file=cj201011/cij5psjiQ2.txtrnier lien

Smart91 · Answer

Je n'arrive pas à accéder au fichier

Smart

erico · Answer

bonjour,
je viens de le reposter 
j'espere que ca va marcher
erichttp://www.cijoint.fr/cjlink.php?file=cj201011/cij4l13tIA.txt

Smart91 · Answer

Encore qq traces:

Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Copie/colle les lignes en gras suivantes :

----------------------------------------------------------
O4 - Global Startup: C:\Documents And Settings\eric\Menu Démarrer\Programmes\Concours Fonction Publique.lnk - Clé orpheline
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\B0A3C1BD90387C11.job
[HKLM\Software\BearShare Mediabar]
O64 - Services: CurCS - C:\WINDOWS\system32\Drivers\NDISRD.sys - NDISRD (NDISRD)  .(.Pas de propriétaire - Pas de description.) - LEGACY_NDISRD
[MD5.00000000000000000000000000000000] [APT] [B0A3C1BD90387C11] (.Pas de propriétaire.) -- c:\docume~1\eric\applic~1\clockb~1\deleteuserdash.exe (.not file.)
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 10/11/2010 - 18:45:24 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\ConduitEngine.tmp   [0]

----------------------------------------------------------
-  Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
-  Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
-  Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
-  Copie/colle la totalité du rapport dans ta prochaine réponse

Smart

erico · Answer

j'ai fait ce que tu m'as dit
il me marque impossible ouvrir
C:\ProgramFiles\ZHPDiag\ZHPFixQuarantine.txt
merci pour la réponse

erico · Answer

il me met aussi fichier introuvable

Smart91 · Answer

le rapport aurait dû s'ouvrir automatiquement.
Si tu as bien fait ce que j'ai dit tu dois avoir un rapport ZHPFix.txt dans C:\ProgramFiles\ZHPDiag\
Sinon recommence

Smart

erico · Answer

j'ai bien refait ce que tu m'as dit
les lignes se collent bien, se sélectionnent bien mais au moment de nettoyer il me remet le message que je t'ai mis prédédemment
il ne trouve pas le fichier quarantine.txt

Smart91 · Answer

Relance ZHPDiag clique sur le bouton "Flêche verte vers le bas" et installe la nouvelle version si il y en a une.
Sinon désinstalle ZHPDiag en allant dans ce répertoire C:\Program Files\ZHPDiag double clique sur le fichier unins000 celui avec l'icone en forme de seringue.
 
Et reprends la manip avec ZHPFix

Smart

erico · Answer

Rapport de ZHPFix 1.12.3219 par Nicolas Coolman, Update du 18/11/2010
Fichier d'export Registre : 
Run by eric at 19/11/2010 13:34:20
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKLM\Software\BearShare Mediabar  => Clé supprimée avec succès
O64 - Services: CurCS - C:\WINDOWS\system32\Drivers\NDISRD.sys - NDISRD (NDISRD) .(.Pas de propriétaire - Pas de description.) - LEGACY_NDISRD  => Clé supprimée avec succès

========== Fichier(s) ==========
c:\documents and settings\eric\menu démarrer\programmes\concours fonction publique.lnk  => Supprimé et mis en quarantaine
c:\windows	asks\b0a3c1bd90387c11.job  => Supprimé et mis en quarantaine
c:\docume~1\eric\applic~1\clockb~1\deleteuserdash.exe (.not file.)  => Fichier absent
c:\windows\system32\conduitengine.tmp  => Supprimé et mis en quarantaine

========== Tache planifiée ==========
Task : B0A3C1BD90387C11  => Tâche supprimée avec succès


========== Récapitulatif ==========
2 : Clé(s) du Registre
4 : Fichier(s)
1 : Tache planifiée


End of the scan

Smart91 · Answer

Refais un ZHPdiag et poste le rapport via cijoint pour vérification

Smart

erico · Answer

voici le lien
http://www.cijoint.fr/cjlink.php?file=cj201011/cijW67ZuZO.txtn

Smart91 · Answer

Désolé mais le fichier n'est pas accéssible

Smart

Smart91 · Answer

C'est bon j'ai pu ouvrir le fichier il faller enlever le n à la fin.
On va passer à la phase finale,  il nous reste à faire:
- les mises à jour prioritaires
- l'optimisation du PC
- la désinstallation des outils de désinfection
- les conseills de prévention quand on surfe sur Internet

Je reviens vers toi car je vais à un RV

Smart

Smart91 · Answer

Tu as deux antivirus avast et antivir cela ne sert à rien désinstalle antivir ==>
http://www.vista-xp.fr/forum/topic2770.html#p19783 

Il faut désinstaller messengerPlus qui n'est pas sûr et utiliser plutôt Windows Live messenger.
Tu peux désinstaller Family Toolbar qui ne sert à rien
Lis ce dossier ci-dessous:
Les Toolbars ce n'est pas obligatoires  

Il faut aussi faire de la place sur ton disque dur. Supprime tous les programmes inutiles ou qu tu n'utilises plus. 

Ensuite fais les mises à jours suivantes:

Mise à jour Windows vers SP3:
http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=fr

Mise à jour Java 6 update 22 ==> https://www.java.com/fr/download/
Décoche la case "Installer la barre d'outils Yahoo" avant de cliquer su suivant.
Ensuite désinstalle par ajout/suppression de programmes toutes les versions de Java 6 dont l'update est infèrieurs à 22

Mise àjour Firefox vers la version 3.6.12:
Allez dans ? > Rechercher des mises à jour ... et cliquez sur "Appliquer la mise à jour"
Sinon aller sur ce lien ==> http://www.mozilla-europe.org/fr/firefox/

Mise à jour vers Adobe 9.4.1
Lance Adobe Reader > Clique sur Aide puis recherche des mises à jour

Mise à jour flashplayer vers la version 10.1.102.64
* Ferme tous tes navigateurs
* A partir du panneau de configuration de Windows, désinstalle Adobe FlashPlayer ActiveX (utilisé par IE) et Adobe FlashPlayer Plugin (utilisé par les autres navigateurs).
* Réinstalle http://fpdownload.adobe.com/get/flashplayer/current/install_flash_player_ax.exe ActiveX] (Décoche la case concernant l'installation de la Googlebar) et/ou le plugin

Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
et lis ceci: Pourquoi tenir ses programmes a jour 

Ensuite on va faire l'optimisation:
Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Copie/colle les lignes en gras suivantes :

----------------------------------------------------------
OPT:O4 - HKLM\..\Run: [NeroCheck] . (.Ahead Software Gmbh - NeroCheck.) -- C:\WINDOWS\system32\NeroCheck.exe
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
OPT:O4 - HKCU\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKCU\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\System32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\System32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\System32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\System32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-21-2025429265-1897051121-682003330-1003\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\S-1-5-21-2025429265-1897051121-682003330-1003\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
----------------------------------------------------------
-  Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
-  Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
-  Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
-  Copie/colle la totalité du rapport dans ta prochaine réponse

Après on fera la suite.

Smart

Eliminer TR/Crypt XPACK.Gen

26 réponses

Votre réponse

Discussions similaires

Newsletters