Infection par le trojan TR/Crypt.XPACK.Gen

Question

Bonjour, 


Je suis infecté par le trojan cité dans le titre. Il est apparu il y a 3 jours environ, et après une analyse et suppression par antivir et malwarebytes je pensais m'en être débarrassé. Sauf qu'aujourd'hui il a réapparu, et antivir arrête pas de gueuler, je mets sois "quarantaine" soit "supprimer" soit "refuser accès" mais il revient sans cesse. 
Je suis en train de faire une analyse Malwarebytes, je vous poste le rapport ensuite? Sinon j'attends votre aide, je ne sais pas si je dois télécharger HijackThis et suivre des turoriaux?

moment de grace · Answer

bonjour

poste ce rapport de Malwarebytes stp

Ayme12 · Answer

Re bonjour, désolé je n'ai pas pu m'en occuper hier. Alors voilà le rapport de MB :




Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6110

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

25/03/2011 21:50:42
mbam-log-2011-03-25 (21-50-37).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 372855
Temps écoulé: 2 heure(s), 7 minute(s), 53 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\users\elsa\appdata\local	emp\9571.tmp (Heuristics.Shuriken) -> No action taken.
c:\users\elsa\appdata\local	emp\b485.tmp (Heuristics.Shuriken) -> No action taken.
c:\Users\elsa\AppData\Local\Temp\CDB0.tmp (Heuristics.Shuriken) -> No action taken.
c:\Users\elsa\AppData\Local\Temp\D8C7.tmp (Heuristics.Shuriken) -> No action taken.

Ayme12 · Answer

A noter qu'aujourd'hui dès que j'ai allumé mon ordi, antivir s'est directement mis à gueuler (je sais pas si ça a de l'importance mais bon)

moment de grace · Answer

No action taken.

les as tu supprimés ?

______

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/


(outil de diagnostic)

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur http://pjjoint.malekal.com/

Clique sur "Parcourir " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message

Ayme12 · Answer

MB m'a dit qu'il n'a pas pu les supprimer... Je fais tout ça

Ayme12 · Answer

Voilà le rapport : http://pjjoint.malekal.com/files.php?id=10941c24cf10711

moment de grace · Answer

rien de méchant

1)

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier : 


C:\Program Files\jeux\jeux.exe 


Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 


Copie le lien de Virus Total dans ta réponse.(l'url de la page des résultats)

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers : 

Pour cela : 
Clique sur démarrer/panneau de configuration/option des dossiers/affichage 

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décocher masquer les extensions dont le type est connu 

Puis fais «appliquer» pour valider les changements. 

Et OK

...........................

2)

Copie  tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

P2 - FPN: [HKLM] [@viewpoint.com/VMP] - (.Pas de propriétaire - MetaStream 3 Plugin r4.) -- C:\Program Files\Viewpoint\Viewpoint Experience Technology
pViewpoint.dll     
O42 - Logiciel: Viewpoint Media Player - (.Pas de propriétaire.) [HKLM] -- ViewpointMediaPlayer     
[HKLM\Software\MetaStream]     
[HKLM\Software\Viewpoint]     
O43 - CFD: 09/03/2008 - 06:58:00 - [7558675] ----D- C:\Program Files\Viewpoint     
O43 - CFD: 09/03/2008 - 06:58:00 - [3991] ----D- C:\ProgramData\Viewpoint     
[HKLM\Software\Classes\axmetastream.metastreamctl]     
[HKLM\Software\Classes\axmetastream.metastreamctl.1]     
[HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary]     
[HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary.1]     
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer]    


Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

Copie/Colle le rapport à l'écran dans ton prochain message 

le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport

Ayme12 · Answer

Rapport virus total :  

http://www.virustotal.com/...

Ayme12 · Answer

Rapport ZHP : http://pjjoint.malekal.com/files.php?id=63c61371fb15159

(je n'arrivais pas à poster le message autrement)

Ayme12 · Answer

Je ne sais pas si vous pouvez voir le lien de virus total en entier, seul le début s'enregistre quand je valide le post....

Ayme12 · Answer

Je re essaie en 2 bouts :

http://www.virustotal.com/file-scan/report.html?

id=2509647b10d57b1034c04d38390aa12103fe66d4fb7b29f465e6465d700c1e36-1301232217

moment de grace · Answer

il faut t'enregistrer sur CCM

le fichier est bon

refais un MBAM en rapide stp

Ayme12 · Answer

L'analyse est en train de se faire, mais même pour faire une analyse rapide il faut bien plus d'une heure.... Sinon je ne sais pas si c'est normal ou pas mais le trojan se manifeste toujours, je lui refuse l'accès et tout de suite ça revient, antivir rebipe, etc etc...

moment de grace · Answer

peux tu poster le rapport de ces alertes d'antivir

Ayme12 · Answer

Il y a deux jours c'était : 

Dans le fichier 'C:\Users\elsa\AppData\Local\Temp\2nwvzo60.exe'
un virus ou un programme indésirable 'TR/Crypt.XPACK.Gen' [trojan] a été détecté.
Action exécutée : Déplacer le fichier en quarantaine

Ce matin c'était :

Dans le fichier 'C:\Users\elsa\AppData\Local\Temp\uqqdojis.exe'
un virus ou un programme indésirable 'TR/Crypt.XPACK.Gen' [trojan] a été détecté.
Action exécutée : Déplacer le fichier en quarantaine


Et là (alerte survenue après l'analyse MBAM dont le rapport est après) :

Dans le fichier 'C:\Users\elsa\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\23\7b82bd97-62ae53f7'
un virus ou un programme indésirable 'TR/Crypt.XPACK.Gen' [trojan] a été détecté.
Action exécutée : Refuser l'accès




Et voici le rapport de MBAM :




Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6183

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

27/03/2011 17:45:10
mbam-log-2011-03-27 (17-45-10).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 157156
Temps écoulé: 44 minute(s), 42 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\elsa\AppData\Local\Temp\qef1e32n.exe (Trojan.Agent) -> Quarantined and deleted successfully.

moment de grace · Answer

Attention, avant de commencer, lit attentivement la procédure, et imprime la Aide à l'utilisation https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix Télécharge ComboFix de sUBs sur ton Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe (clic droit sur le lien ...enregistrer la cible du lien sous ) /!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ ---> Double-clique sur ComboFix.exe Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter SURTOUT INSTALLES LA CONSOLE DE RECUPERATION (si il te propose de l'installer remets internet) ---> Mets-le en langue française F Tape sur la touche 1 (Yes) pour démarrer le scan. Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. Une fois le scan achevé, un rapport va s'afficher : Poste son contenu /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ Note : Le rapport se trouve également là : C:\ComboFix.txt

Ayme12 · Answer

Je dois m'arrêter là pour aujourd'hui car la procédure a l'air assez longue, et malheureusement je ne pourrai pas m'en occuper dans les deux prochaines semaines, je reprendrai donc à ce point là dans deux semaines environ (je n'aurai pas mon ordinateur avec moi, il restera donc éteint jusqu'à ce que je me re-penche sur le problème).
En tout cas merci beaucoup pour votre aide jusqu'à présent, je sais "qu'en désinfection, c'est la fin le plus important", j'espère donc l'atteindre la prochaine fois!
(Je posterai à la suite de ce topic donc merci de ne pas le clôturer).

Ayme12 · Answer

Comme promis me voilà de retour. Donc je n'ai pas touché mon ordinateur depuis la dernière fois, là je viens de l'allumer et antivir n'arrête pas de biper. Je vais donc exécuter toutes ces instructions et je vous poste le rapport

Ayme12 · Answer

Voilà le rapport Combofix. Je viens de voir que j'ai oublié de désactiver Windows Defender, et antivir me signale toujours que le trojan est là... Faut il que je le refasse en désactivant Windows Defender






ComboFix 11-04-08.02 - elsa 09/04/2011  11:37:10.1.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6001.1.1252.33.1036.18.3070.1927 [GMT 2:00]
Lancé depuis: c:\users\elsa\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Outdated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Outdated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\Install.exe
c:\windows\system32\KBL.LOG
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-03-09 au 2011-04-09  ))))))))))))))))))))))))))))))))))))
.
.
2011-04-09 09:45 . 2011-04-09 09:45	--------	d-----w-	c:\users\Default\AppData\Local	emp
2011-03-27 12:44 . 2011-03-27 12:44	512	----a-w-	C:\PhysicalDisk0_MBR.bin
2011-03-27 12:39 . 2011-03-27 13:42	--------	d-----w-	c:\program files\ZHPDiag
2011-03-25 07:44 . 2011-03-15 04:05	6792528	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{B7CFFA42-079F-4B63-8DB2-3BA2451F6FF2}\mpengine.dll
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-24 13:51 . 2011-02-24 13:51	653576	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2011-02-02 17:11 . 2009-10-02 20:12	222080	------w-	c:\windows\system32\MpSigStub.exe
2009-05-01 21:02 . 2009-05-01 21:02	1044480	----a-w-	c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02	200704	----a-w-	c:\program files\mozilla firefox\plugins\ssldivx.dll
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]
"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2007-08-23 455968]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2008-02-20 360448]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
"Software Suite"="c:\program files\Packard Bell\Software Suite\PBSoftSuite.exe" [2009-10-01 3144736]
"Packard Bell Software Suite"="c:\program files\Packard Bell\Software Suite\PBSoftSuite.exe" [2009-10-01 3144736]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-01-18 1033512]
"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2007-01-17 634880]
"RtHDVCpl"="RtHDVCpl.exe" [2007-10-09 4702208]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-10-24 178712]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2007-12-19 468264]
"OnScreenDisplay"="c:\program files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe" [2007-09-04 554320]
"UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2007-08-16 218408]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-06-16 75008]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-09-13 480560]
"WAWifiMessage"="c:\program files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe" [2007-01-08 311296]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-10-03 13826664]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-08-10 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-09-01 421160]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
"EEventManager"="c:\progra~1\EPSONS~1\EVENTM~1\EEventManager.exe" [2009-04-07 673616]
"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-12-20 963976]
.
c:\users\elsa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
.
R0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys [x]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-07-03 136176]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
S2 PowerSave;PowerSave Service;c:\program files\Packard Bell\Software Suite\PowerSave\PSPBSSS.exe [2009-04-06 1002016]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-08-23 15:34	451872	----a-w-	c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Contenu du dossier 'Tâches planifiées'
.
2011-04-09 c:\windows\Tasks\Epson Printer Software Downloader.job
- c:\program files\EPSON\EPAPDL\E_SAPDL2.EXE [2009-05-26 09:43]
.
2011-04-09 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-07-03 20:54]
.
2011-04-09 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-07-03 20:54]
.
2011-04-09 c:\windows\Tasks\User_Feed_Synchronization-{B5149D72-DA8C-4D35-A0D7-BC7DAFAC51B0}.job
- c:\windows\system32\msfeedssync.exe [2008-01-21 02:24]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://home.neuf.fr/
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=81&bd=Pavilion&pf=laptop
uInternet Settings,ProxyOverride = *.local
IE: &Download by Orbit
IE: &Grab video by Orbit
IE: &Recherche AOL Toolbar - c:\program files\aol\aol toolbar 5.0esources\fr-fr\local\search.html
IE: Do&wnload selected by Orbit
IE: Down&load all by Orbit
FF - ProfilePath - c:\users\elsa\AppData\Roaming\Mozilla\Firefox\Profiles\mxd418xd.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ig
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - user.js: yahoo.homepage.dontask - true
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKCU-Run-HPAdvisor - c:\program files\Hewlett-Packard\HP Advisor\HPAdvisor.exe
HKLM-Run-QlbCtrl - %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
AddRemove-ViewpointMediaPlayer - c:\program files\Viewpoint\Viewpoint Experience Technology\mtsAxInstaller.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-04-09 11:45
Windows 6.0.6001 Service Pack 1 NTFS
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
Heure de fin: 2011-04-09  11:49:01
ComboFix-quarantined-files.txt  2011-04-09 09:48
.
Avant-CF: 175 709 749 248 octets libres
Après-CF: 177 431 662 592 octets libres
.
- - End Of File - - 73D826176BE5B3ADADBC5E42303E4006

Ayme12 · Answer

Personne peut me dire si je dois le refaire?

Ayme12 · Answer

Désolé je ne veux pas trop presser mais depuis ce matin je ne sais pas quoi faire... Si quelqu'un veut bien lire mon rapport de combofix. Pour résumer, je suis infecté par le Trojan Xpack Gen, Mlwarebytes et Antivir ne peuvent pas le supprimer, on m'a fait utiliser ZHPDiag et ZHPFix sans résultat... J'ai au moins une alerte par minute... Et après avoir exécuté ComboFix, j'ai toujours ça. J'ai oublié de désactiver Windows Defender, pensez vous que cela a eu une incidence et que je dois refaire l'analyse?

Merci d'avance

Ayme12 · Answer

Oui désolé je comprends tout à fait, j'aimerais juste avoir terminé avant demain car je ne pourrai de nouveau pas m'en occuper avant un moment.

Pour répondre aux questions :

-ma version de Windows est authentique
-ma version d'antivir est 9.0.0.81

J'ai fait l'analyse en mode sans échec, j'ai eu un résultat positif que j'ai supprimé, et depuis ça a l'air d'aller, je n'ai plus d'alerte. Voici le rapport :






Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6320

Windows 6.0.6001 Service Pack 1 (Safe Mode)
Internet Explorer 7.0.6001.18000

09/04/2011 20:37:36
mbam-log-2011-04-09 (20-37-36).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 371388
Temps écoulé: 52 minute(s), 52 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\elsa\AppData\LocalLow\Sun\Java\deployment\cache\6.0\23\7b82bd97-62ae53f7 (Trojan.Agent) -> Quarantined and deleted successfully.

afideg · Answer

Re, 

Bien pour la mise à jour de MBAM, et l'analyse en MSE. 

As-tu supprimé (ou désactivé) Windows Defender ? 

Mise à jour de AntiVir ==> http://www.commentcamarche.net/download/telecharger-55-antivir 

Et peut-être mettre à jour la console JAVA ==> - Aller sur le site https://www.java.com/fr/download/manual.jsp target='_blank'>Java Sun;   
- Cliquer sur  VÉRIFIER MAINTENANT et suivre les instructions de téléchargement.   
- Ensuite retourner sur le site JAVA, et cliquer sur [Supprimer les anciennes versions] 


Bonne continuation en attendant moment de grace (que je salue) 

Al. 

Patience-Vigilance-Amour.

Ayme12 · Answer

j'ai désactivé Windows defender, je n'arrive pas à le désinstaller. J'ai téléchargé la nouvelle version d'antivir, j'ai fait une analyse et il ne m'a trouvé aucun résultat, simplement un objet caché, je ne sais pas ce que c'est... En tout cas je n'ai plus l'air d'avoir de problèmes.

Ayme12 · Answer

Le lien que vous m'avez donné pour mettre à jour la console java n'est pas valide... Pourriez-vous me le re donner?

Ayme12 · Answer

Voilà c'est fait! Eh bien je crois que mon problème est résolu! Merci beaucoup d'avoir pris la suite du problème et de m"avoir aidé. Désolé d'avoir été un peu insistant hier...

Peut-être à bientôt,

Aymeric


PS : je ne trouve pas comment faire pour classer le sujet "résolu".

Infection par le trojan TR/Crypt.XPACK.Gen

26 réponses

Votre réponse

Discussions similaires

Newsletters