Crypt.PEPM.Gen virus
Résolu/Fermé
A voir également:
- Crypt.PEPM.Gen virus
- Tinyurl virus - Forum Virus / Sécurité
- Svchost.exe virus - Guide
- Tlauncher virus ✓ - Forum Jeux vidéo
- Softonic virus - Forum Virus / Sécurité
- 6 proccesus svchost.exe Virus? ✓ - Forum Virus / Sécurité
34 réponses
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
2 janv. 2011 à 16:56
2 janv. 2011 à 16:56
Re,
DrWebCureIt a supprimé beaucoup de choses lacé dans la quarantaine d'Antivir ou de ComboFix.
La restauration système est également infectée.
Innofensif tant que tu ne fais pas de restauration. A nettoyer de toute façon.
----------------------------------------------------
utilise l'outil suivant.
Télécharge OTL (de OldTimer) sur ton Bureau.
http://oldtimer.geekstogo.com/OTL.scr
Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.
* Double-clique sur OTL.scr pour le lancer.
Si Sous Vista/seven, , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur.
* Sélectionne l'option tous les utilisateurs.
* Dans la partie Personnalisation, copie/colle la liste suivante.
* Enfin, clique sur le bouton Analyse rapide.
* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)
Utilise un site comme http://cijoint.fr pour les déposer.
indique ensuite les deux liens crées.
A+
DrWebCureIt a supprimé beaucoup de choses lacé dans la quarantaine d'Antivir ou de ComboFix.
La restauration système est également infectée.
Innofensif tant que tu ne fais pas de restauration. A nettoyer de toute façon.
----------------------------------------------------
utilise l'outil suivant.
Télécharge OTL (de OldTimer) sur ton Bureau.
http://oldtimer.geekstogo.com/OTL.scr
Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.
* Double-clique sur OTL.scr pour le lancer.
Si Sous Vista/seven, , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur.
* Sélectionne l'option tous les utilisateurs.
* Dans la partie Personnalisation, copie/colle la liste suivante.
netsvcs Drivers32 msconfig activex /md5start winlogon.exe explorer.exe wininit.exe /md5stop %SYSTEMDRIVE%\*.exe %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %appdata%\*.exe /s %APPDATA%\*. %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles %systemroot%\Tasks\*.job /lockedfiles CREATERESTOREPOINT
* Enfin, clique sur le bouton Analyse rapide.
* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)
Utilise un site comme http://cijoint.fr pour les déposer.
indique ensuite les deux liens crées.
A+
OTL :
http://www.cijoint.fr/cjlink.php?file=cj201101/cijX5bKYh8.txt
Extra :
http://www.cijoint.fr/cjlink.php?file=cj201101/cijSKbaTgB.txt
http://www.cijoint.fr/cjlink.php?file=cj201101/cijX5bKYh8.txt
Extra :
http://www.cijoint.fr/cjlink.php?file=cj201101/cijSKbaTgB.txt
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
2 janv. 2011 à 17:23
2 janv. 2011 à 17:23
Re,
Cela a l'air d'être bon.
Comment se comporte le PC ?
Plus de message d'Antivir, j'imagine.
-----------------------------------
Relance OTL.exe.
* Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant :
* Puis clique sur le bouton Correction en haut de la fenêtre.
* Laisse le programme travailler, le PC va redémarrer.
Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).
sauvegarde-le sur ton Bureau et poste-le après redémarrage.
Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles
Regarde suivant la date : mmjjaaaa_xxxxxxxx.log
A+
Cela a l'air d'être bon.
Comment se comporte le PC ?
Plus de message d'Antivir, j'imagine.
-----------------------------------
Relance OTL.exe.
* Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant :
:OTL
DRV - File not found [File_System | Unknown | Running] -- -- (DwProt)
DRV - File not found [Kernel | On_Demand | Running] -- C:\ComboFix\catchme.sys -- (catchme)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O3 - HKU\S-1-5-21-2052111302-854245398-682003330-1003\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
[2009/03/17 21:05:26 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Lavasoft
[2009/03/20 14:41:03 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\f-secure
:Commands
[EMPTYTEMP]
[EMPTYFLASH]
* Puis clique sur le bouton Correction en haut de la fenêtre.
* Laisse le programme travailler, le PC va redémarrer.
Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).
sauvegarde-le sur ton Bureau et poste-le après redémarrage.
Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles
Regarde suivant la date : mmjjaaaa_xxxxxxxx.log
A+
J'ai toujours un message qui remonte :
'C:\autorun.inf' a été bloqué.
J'effectue ce que tu m'as demandé précédemment.
'C:\autorun.inf' a été bloqué.
J'effectue ce que tu m'as demandé précédemment.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Et voici pour OTL :
All processes killed
========== OTL ==========
Error: Unable to stop service DwProt!
Service\Driver key DwProt not found.
Service catchme stopped successfully!
Service catchme deleted successfully!
File C:\ComboFix\catchme.sys not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
Registry value HKEY_USERS\S-1-5-21-2052111302-854245398-682003330-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{21FA44EF-376D-4D53-9B0F-8A89D3229068} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21FA44EF-376D-4D53-9B0F-8A89D3229068}\ not found.
C:\Documents and Settings\All Users\Application Data\Lavasoft\License folder moved successfully.
C:\Documents and Settings\All Users\Application Data\Lavasoft folder moved successfully.
C:\Documents and Settings\All Users\Application Data\f-secure\setup folder moved successfully.
C:\Documents and Settings\All Users\Application Data\f-secure folder moved successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 49219 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
User: Radiohead
->Temp folder emptied: 399 bytes
->Temporary Internet Files folder emptied: 32902 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 88932686 bytes
->Flash cache emptied: 8614 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2225529 bytes
%systemroot%\System32 .tmp files removed: 3433472 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 109080 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 90,00 mb
[EMPTYFLASH]
User: All Users
User: Default User
User: LocalService
User: NetworkService
User: Radiohead
->Flash cache emptied: 0 bytes
Total Flash Files Cleaned = 0,00 mb
OTL by OldTimer - Version 3.2.20.1 log created on 01022011_172806
Files\Folders moved on Reboot...
Registry entries deleted on Reboot...
All processes killed
========== OTL ==========
Error: Unable to stop service DwProt!
Service\Driver key DwProt not found.
Service catchme stopped successfully!
Service catchme deleted successfully!
File C:\ComboFix\catchme.sys not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
Registry value HKEY_USERS\S-1-5-21-2052111302-854245398-682003330-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{21FA44EF-376D-4D53-9B0F-8A89D3229068} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21FA44EF-376D-4D53-9B0F-8A89D3229068}\ not found.
C:\Documents and Settings\All Users\Application Data\Lavasoft\License folder moved successfully.
C:\Documents and Settings\All Users\Application Data\Lavasoft folder moved successfully.
C:\Documents and Settings\All Users\Application Data\f-secure\setup folder moved successfully.
C:\Documents and Settings\All Users\Application Data\f-secure folder moved successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 49219 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
User: Radiohead
->Temp folder emptied: 399 bytes
->Temporary Internet Files folder emptied: 32902 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 88932686 bytes
->Flash cache emptied: 8614 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2225529 bytes
%systemroot%\System32 .tmp files removed: 3433472 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 109080 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 90,00 mb
[EMPTYFLASH]
User: All Users
User: Default User
User: LocalService
User: NetworkService
User: Radiohead
->Flash cache emptied: 0 bytes
Total Flash Files Cleaned = 0,00 mb
OTL by OldTimer - Version 3.2.20.1 log created on 01022011_172806
Files\Folders moved on Reboot...
Registry entries deleted on Reboot...
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
2 janv. 2011 à 17:39
2 janv. 2011 à 17:39
Re,
Il y a sur chaque lecteur C:\, D:\, ... un dossier autorun.inf.
Je pense que c'est un vaccin fait par des outils comme USBFix, Panda, ...
Cela te dit quelque chose ?
Si c'est le cas, alors c'est normal qu'antivir te signale qu'il bloque par précaution ces fichiers.
https://support.avira.com/hc/de/community/topics#post1004018
----------------------------------------
Fais ceci :
démarrer --> exécuter --> tape cmd puis valide
tape ensuite dans la fenêtre MsDos puis valide :
Cela créera un rapport vaccin.txt à la racine de C:\.
poste-le.
Il y a sur chaque lecteur C:\, D:\, ... un dossier autorun.inf.
O32 - AutoRun File - [2009/06/25 21:33:44 | 000,000,000 | R--D | M] - C:\autorun.inf -- [ NTFS ]
Je pense que c'est un vaccin fait par des outils comme USBFix, Panda, ...
Cela te dit quelque chose ?
Si c'est le cas, alors c'est normal qu'antivir te signale qu'il bloque par précaution ces fichiers.
https://support.avira.com/hc/de/community/topics#post1004018
----------------------------------------
Fais ceci :
démarrer --> exécuter --> tape cmd puis valide
tape ensuite dans la fenêtre MsDos puis valide :
dir C:\autorun.inf /s>C:\vaccin.txt
Cela créera un rapport vaccin.txt à la racine de C:\.
poste-le.
Je ne connais pas ces outils : je nettoie mon PC avec Malwarebytes anti-malware, Spybot et CCleaner.
Voici le rapport :
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 5CC7-A4CB
Répertoire de C:\autorun.inf
25/06/2009 21:33 <REP> .
25/06/2009 21:33 <REP> ..
25/06/2009 21:33 0 lpt3.This folder was created by Flash_Disinfector
1 fichier(s) 0 octets
Total des fichiers listés :
1 fichier(s) 0 octets
2 Rép(s) 1 273 442 304 octets libres
Voici le rapport :
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 5CC7-A4CB
Répertoire de C:\autorun.inf
25/06/2009 21:33 <REP> .
25/06/2009 21:33 <REP> ..
25/06/2009 21:33 0 lpt3.This folder was created by Flash_Disinfector
1 fichier(s) 0 octets
Total des fichiers listés :
1 fichier(s) 0 octets
2 Rép(s) 1 273 442 304 octets libres
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
2 janv. 2011 à 17:50
2 janv. 2011 à 17:50
Re,
Les dossiers autorun.inf ont été crées par flash desinfector.
C'est tout bon.
Ce sont des vaccins sur les supports.
On termine.
--------------------------------------
On va enlever les logiciels qui ont été utilisés..
# Ouvre OTL etclique sur Purge Outils.
Cela va redémarrer le PC et vider la quarantine d'OTL
Ceci devrait aussi supprimer Combofix, gmer.
# désinstalle SEAF via le panneau de configuration.
# Supprime Defogger, TdssKiller sur ton bureau.
-------------------------------------------------------------------------
Tu vas nettoyer la restauration système et créer un point propre pour une utilisation ultérieure.
Les points de restauration :
- Panneau de configuration --> Système --> Restauration du système
cocher " Désactiver la restauration .... " ( si elle est cochée sinon la décocher -- > valider -- > cocher )
Une fenêtre va s'ouvrir pour t'avertir que les poins de restauration existants seront supprimés.
Accepte.
Décoche ensuite « Désactiver la restauration .... » pour réactiver la restauration système
- Tu vas recréer un point de restauration propre.
Pour recréer un point de restauration :
Démarrer --> Programmes --> Accessoires --> Outils système --> Restauration système
Choisis "Créer un point de restauration". Suis les invites.
------------------------------------------------------------------------
Une lecture : projet antimalwares : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
Et pour la version crackée, pense-y à l'avenir si tu changes de PC à ne pas commettre cette erreur.
---------------------------------------------------------------------------
En te souhaitant bonne lecture.
Bonne continuation.
Salut.
Les dossiers autorun.inf ont été crées par flash desinfector.
C'est tout bon.
Ce sont des vaccins sur les supports.
On termine.
--------------------------------------
On va enlever les logiciels qui ont été utilisés..
# Ouvre OTL etclique sur Purge Outils.
Cela va redémarrer le PC et vider la quarantine d'OTL
Ceci devrait aussi supprimer Combofix, gmer.
# désinstalle SEAF via le panneau de configuration.
# Supprime Defogger, TdssKiller sur ton bureau.
-------------------------------------------------------------------------
Tu vas nettoyer la restauration système et créer un point propre pour une utilisation ultérieure.
Les points de restauration :
- Panneau de configuration --> Système --> Restauration du système
cocher " Désactiver la restauration .... " ( si elle est cochée sinon la décocher -- > valider -- > cocher )
Une fenêtre va s'ouvrir pour t'avertir que les poins de restauration existants seront supprimés.
Accepte.
Décoche ensuite « Désactiver la restauration .... » pour réactiver la restauration système
- Tu vas recréer un point de restauration propre.
Pour recréer un point de restauration :
Démarrer --> Programmes --> Accessoires --> Outils système --> Restauration système
Choisis "Créer un point de restauration". Suis les invites.
------------------------------------------------------------------------
Une lecture : projet antimalwares : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
Et pour la version crackée, pense-y à l'avenir si tu changes de PC à ne pas commettre cette erreur.
---------------------------------------------------------------------------
En te souhaitant bonne lecture.
Bonne continuation.
Salut.
Je te remercie pour le temps que tu m'as consacré.
Merci aussi pour le pdf projet antimalwares, c'est super intéressant et ça permet d'éviter de faire des erreurs.
Pour la version craquée, je souhaiterais savoir s'il y a un soucis si je mets mon Windows à jour?
Y a t-il un moyen de supprimer le message me disant que je suis "victime d'une contrefaçon"?
Merci aussi pour le pdf projet antimalwares, c'est super intéressant et ça permet d'éviter de faire des erreurs.
Pour la version craquée, je souhaiterais savoir s'il y a un soucis si je mets mon Windows à jour?
Y a t-il un moyen de supprimer le message me disant que je suis "victime d'une contrefaçon"?
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
2 janv. 2011 à 18:49
2 janv. 2011 à 18:49
Non, pas moyen de supprimer ce message.
Tu veux dire quoi ?
Acheter une licence ?
Mettre à jour windows via windowsupdate ?
Pour la version craquée, je souhaiterais savoir s'il y a un soucis si je mets mon Windows à jour?
Tu veux dire quoi ?
Acheter une licence ?
Mettre à jour windows via windowsupdate ?
Je souhaiterais savoir si je peux conserver ce Windows tel quel et le mettre à jour automatiquement ?
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
2 janv. 2011 à 19:55
2 janv. 2011 à 19:55
Re,
https://www.commentcamarche.net/faq/3625-windows-wga-windows-genuine-advantage
https://www.commentcamarche.net/faq/2981-j-utilise-une-version-piratee-de-windows
@+
https://www.commentcamarche.net/faq/3625-windows-wga-windows-genuine-advantage
https://www.commentcamarche.net/faq/2981-j-utilise-une-version-piratee-de-windows
@+
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
1 janv. 2011 à 23:06
1 janv. 2011 à 23:06
Re,
Eh bien ! Il est bien infecté le PC.
------------------------------------------------
1/ Tu as des traces d'un émulateur de CD style Alcohol Soft ou Daemon Tools.
l'outil suivant va les désactiver.
* Télécharge DeFogger de Jpshortstuff sur ton Bureau
http://www.jpshortstuff.247fixes.com/Defogger.exe
* Double-clique sur DeFogger.exe pour démarrer l'outil (ou clic droit et exécuter en tant qu'administrateur sous Vista),
* La fenêtre de DeFogger apparait,
* Clique sur Disable pour désactiver les drivers d'émulateurs CD,
* Clique sur Yes pour continuer,
* Un message "Finished" apparaîtra,
* Clique sur OK,
* DeFogger va demander de redémarrer le pc,
* Ne réactive pas les drivers avant que te le demande
2/ Télécharge gmer sur ton bureau ( IMPORTANT )
http://www.gmer.net/#files
Précautions d'usage :
- Durant l'utilisation du logiciel, désactive tes protections actives ( antivirus, parefeu ). IMPORTANT.
- Ferme également toutes les applications actives dont ton navigateur.
# Double-clique sur l'exécutable téléchargé .
Si sous Vista , click droit sur l'exécutable et choisir exécuter en tant qu'administrateur.
# Le scan va se lancer de lui-même.
Si tu reçois un message t'indiquant la présence de rootkits, choisis oui pour effectuer une analyse complète du PC mais ne supprime rien.
# A la fin de l'analyse, clique sur save pour enregistrer le rapport
# Enregistre-le sur le bureau ( fichier .log )
Édite ce rapport dans ta prochaine réponse.
A+
Eh bien ! Il est bien infecté le PC.
------------------------------------------------
1/ Tu as des traces d'un émulateur de CD style Alcohol Soft ou Daemon Tools.
l'outil suivant va les désactiver.
* Télécharge DeFogger de Jpshortstuff sur ton Bureau
http://www.jpshortstuff.247fixes.com/Defogger.exe
* Double-clique sur DeFogger.exe pour démarrer l'outil (ou clic droit et exécuter en tant qu'administrateur sous Vista),
* La fenêtre de DeFogger apparait,
* Clique sur Disable pour désactiver les drivers d'émulateurs CD,
* Clique sur Yes pour continuer,
* Un message "Finished" apparaîtra,
* Clique sur OK,
* DeFogger va demander de redémarrer le pc,
* Ne réactive pas les drivers avant que te le demande
2/ Télécharge gmer sur ton bureau ( IMPORTANT )
http://www.gmer.net/#files
Précautions d'usage :
- Durant l'utilisation du logiciel, désactive tes protections actives ( antivirus, parefeu ). IMPORTANT.
- Ferme également toutes les applications actives dont ton navigateur.
# Double-clique sur l'exécutable téléchargé .
Si sous Vista , click droit sur l'exécutable et choisir exécuter en tant qu'administrateur.
# Le scan va se lancer de lui-même.
Si tu reçois un message t'indiquant la présence de rootkits, choisis oui pour effectuer une analyse complète du PC mais ne supprime rien.
# A la fin de l'analyse, clique sur save pour enregistrer le rapport
# Enregistre-le sur le bureau ( fichier .log )
Édite ce rapport dans ta prochaine réponse.
A+