Infectée par tr.crypt.x.pack.gen

fabrice3099 Messages postés 4 Statut Membre -  
 fabrice3099 -
Bonjour,
J'ai été infecté par un virus. J'ai télécharger MALWAREBYTES.
Voici le rapport:

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 6121

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

21/03/2011 21:58:01
mbam-log-2011-03-21 (21-57-56).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 165408
Temps écoulé: 7 minute(s), 35 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 3
Clé(s) du Registre infectée(s): 6
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 12

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
c:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> No action taken.
c:\WINDOWS\rimsl1.dll (Trojan.Hiloti) -> No action taken.
c:\program files\fichiers communs\Spigot\wtxpcom\components\widgitoolbarff.dll (Adware.WidgiToolbar) -> No action taken.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\A9YA3MI1CF (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Npigetakobi (Trojan.Hiloti) -> Value: Npigetakobi -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\FICHIERS COMMUNS\SPIGOT\WTXPCOM\COMPONENTS\WIDGITOOLBARFF.DLL (Adware.WidgiToolbar) -> Value: WIDGITOOLBARFF.DLL -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\A9YA3MI1CF (Trojan.Downloader) -> Value: A9YA3MI1CF -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> No action taken.
c:\WINDOWS\rimsl1.dll (Trojan.Hiloti) -> No action taken.
c:\program files\fichiers communs\Spigot\wtxpcom\components\widgitoolbarff.dll (Adware.WidgiToolbar) -> No action taken.
c:\Documents and Settings\utilisateur\Local Settings\Temp\Xq4.exe (Trojan.Downloader) -> No action taken.
c:\Documents and Settings\utilisateur\Local Settings\Temp\Xq1.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\utilisateur\local settings\Temp\Xqx.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\utilisateur\local settings\Temp\Xqy.exe (Trojan.Downloader) -> No action taken.
c:\WINDOWS\Temp\ytvv\setup.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\Xrycya.exe (Trojan.Downloader) -> No action taken.
c:\WINDOWS\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> No action taken.
c:\WINDOWS\Tasks\{62c40aa6-4406-467a-a5a5-dfdf1b559b7a}.job (Trojan.FakeAlert) -> No action taken.
c:\WINDOWS\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> No action taken.

Pouvez vous m'aider s'il vous plaît.
Merci

16 réponses

Réponse 1 / 16
Malekal_morte- Messages postés 184347 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 689
 
Bonsoir,

Fais ça :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.

0
Réponse 2 / 16
fabrice3099
 
Voila le lien pjjoint
http://pjjoint.malekal.com/files.php?id=d37aea6a0713139

Merci
0
Réponse 3 / 16
Malekal_morte- Messages postés 184347 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 689
 
Dealio / Search Settings à désinstaller.....
Adware.

Quand c'est fait, refais un scan OTL et donne le lien du scan.

Yes, no, maybe
I don't know
Can you repeat the question?
You're not the boss of me now
0
Réponse 4 / 16
fabrice399
 
Bonjour et merci
j'ai supprimé Dealio

Voici le lien
http://pjjoint.malekal.com/files.php?id=01727ef5e115510

Encore merci.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 16
Malekal_morte- Messages postés 184347 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 689
 
Envoie C:\WINDOWS\System32\sherlock2.exe
sur http://upload.malekal.com

~~

Relance OTL.
o sous Personnalisation, copie_colle le contenu du cadre ci dessous et clic Correction, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:

:OTL
DRV - [2008/04/14 13:00:00 | 000,023,424 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\juaytbsw.sys -- (juaytbsw)

* redemarre le pc sous windows et poste le rapport ici

Mets à jour Malwarebyte.
Fais un scan complet poste le rapport ici.

Refais un scan OTL comme avant et donne le lien du rapport ici.
0
Réponse 6 / 16
fabrice3099
 
Bonjour,
Le rapport après OTL est http://pjjoint.malekal.com/files.php?id=e565cf2d1a1377


Après malwarebyte le rapport est
http://pjjoint.malekal.com/files.php?id=ba2d53251315147

Que faire?
Merci
0
Réponse 7 / 16
Malekal_morte- Messages postés 184347 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 689
 
Le PC est plus rapide ?

Tu peux refaire un scan OTL :)
0
Réponse 8 / 16
fabrice3099
 
Le deuxième scan de OTL donne ça: http://pjjoint.malekal.com/files.php?id=95ba65d37e81312
0
Réponse 9 / 16
fabrice3099
 
Oui mon ordi va plus vite.
Voici le lien du scan OTL:
http://pjjoint.malekal.com/files.php?id=00dd44cbf5141414

L'ordi est-il sain?
Merci.
0
Réponse 10 / 16
Malekal_morte- Messages postés 184347 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 689
 
Non y a encore la ligne rouge.


DESACTIVE LA PROTECTION ANTIVIR DURANT LA PROCEDURE

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes : 

driver::
juaytbsw
file::
C:\WINDOWS\system32\drivers\juaytbsw.sys


Enregistre ce fichier sous le nom CFScript

[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

[*]Combofix se lance, laisse toi guider..

[*]Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
[*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur http://pjjoint.malekal.com/ et donne le lien ici dans un nouveau message.
0
Réponse 11 / 16
fabrice3099
 
voila j'ai tout fait comme ta dit

le lien est: http://pjjoint.malekal.com/files.php?id=056b06c0f513912

et maintenant?
0
Réponse 12 / 16
Malekal_morte- Messages postés 184347 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 689
 
refais un scan OTL et poste le rapport ici;
0
Réponse 13 / 16
fabrice3099
 
http://pjjoint.malekal.com/files.php?id=9c405665cc7514

maintenant l'ordi va doucement depuis hier soir.
0
Réponse 14 / 16
Malekal_morte- Messages postés 184347 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 689
 
Dégage ces extensions sur Firefox :
[2011/01/05 17:29:23 | 000,000,000 | ---D | M] (MediaBar) -- C:\Documents and Settings\utilisateur\Application Data\Mozilla\Firefox\Profiles\czrwvtop.default\extensions\{28387537-e3f9-4ed7-860c-11e69af4a8a0}
[2011/03/07 17:18:08 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Documents and Settings\utilisateur\Application Data\Mozilla\Firefox\Profiles\czrwvtop.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
[2011/02/05 10:04:10 | 000,000,000 | ---D | M] (BitTorrentBar Community Toolbar) -- C:\Documents and Settings\utilisateur\Application Data\Mozilla\Firefox\Profiles\czrwvtop.default\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527}
[2010/12/29 22:51:53 | 000,000,000 | ---D | M] (BittorrentBar_FR Community Toolbar) -- C:\Documents and Settings\utilisateur\Application Data\Mozilla\Firefox\Profiles\czrwvtop.default\extensions\{ef79f67a-6ad7-4715-a0f8-932fca442023}
[2011/02/05 10:04:09 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\utilisateur\Application Data\Mozilla\Firefox\Profiles\czrwvtop.default\extensions\engine@conduit.com

Menu Démarrer / executer et tape msconfig puis OK.
Clic sur l'onglet Démarrage
Décoche les lignes suivantes :

O4 - HKLM..\Run: [Adobe ARM] C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Program Files\Adobe\Reader 10.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [DivXUpdate] C:\Program Files\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [LogitechQuickCamRibbon] C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe ()
O4 - HKLM..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe (Logitech Inc.)
O4 - HKLM..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe (Logitech Inc.)
O4 - HKLM..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE (Logitech Inc.)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [TkBellExe] C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
O4 - HKCU..\Run: [Logitech Vid] C:\Program Files\Logitech\Logitech Vid\vid.exe (Logitech Inc.)
O4 - HKCU..\Run: [LogitechSoftwareUpdate] C:\Program Files\Logitech\Video\ManifestEngine.exe (Logitech Inc.)

Clic sur OK partout.
Redémarre l'ordinateur
coche la case pour ne plus afficher le message
vois ce que cela donne.

0
Réponse 15 / 16
fabrice3099
 
je ne sais pas ce que veut dire Dégage ces extensions sur Firefox :
[2011/01/05 17:29:23 | 000,000,000 | ---D | M] (MediaBar) -- C:\Documents and Settings\utilisateur\Application Data\Mozilla\Firefox\Profiles\czrwvtop.default\extensions\{28387537-e3f9-4ed7-860c-11e69af4a8a0}

comment on fait
0
Malekal_morte- Messages postés 184347 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 689
 
Sur Firefox : Menu Outils => Modules Complémentaires.
0
Réponse 16 / 16
fabrice3099
 
Merci

Voila j'ai tout fait et l'ordi a l'air plus rapide.
Et maintenant?
0

Discussions similaires

Menace détectée TrojanSMS-PA sur Google Huawei/Android
Outmost -
bazfile -

6 réponses
Infectée par Adware.Agent !
Leila -
Leila -

8 réponses
Virus sur carte sim?
Anonyme -
Miiwx -

3 réponses
USB Infectée !
Kimia77 -
Pierrecastor -

8 réponses
Clé mémoire infectée
Nadysa -
Malekal_morte- -

14 réponses