Virus TR/Crypt.XPACK.Gen2 [trojan]

Sasa -  
 Pow33 -
Bonjour,

J'ai besoin de votre aide, mon antivirus Avira Antivir m'as signalé qu'un virus ou un programme indésirable 'TR/Crypt.XPACK.Gen2' [trojan] a été détecté.
J'ai eu la possibilité de cliquer sur "supprimer" ou "détails" j'ai donc cliqué sur "supprimer".
Ensuite j'ai fais un scann et au bout de 20 minutes environ 1 résultat positif TR/Crypt.XPACK.Gen2.
N'y connaissant rien en informatique je pensais que "supprimer" suffisait pour être débarrassé de ce virus.
Puis un second JAVA/Exdoer.BA à était trouvé !
Qui pourrai m'aider si possible avec des mots pas trop techniques et clairs ?

Merci d'avance de m'aider je suis vraiment embêté !

47 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Des détections par Avira Antivir signalent les Trojans TR/Crypt.XPACK.Gen2 et JAVA/Exdoer.BA sur un système Windows Vista avec Firefox, et un simple clic sur supprimer ne suffit pas après le premier scan.
Plusieurs échanges recommandent des outils avancés comme OTL pour analyser le système, générer des rapports et les transmettre via des liens externes, afin d’identifier les modifications profondes et les éléments en quarantaine.
En cas de persistance, des symptômes comme des accès restreints à certains dossiers ou des modifications d’éléments de démarrage ou du MBR peuvent apparaître, nécessitant des scans répétés et une restauration des composants affectés.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. gen-hackman
     
    salut

    Télécharge ici :OTL

    enregistre le sur ton Bureau.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    => Configuration

    ▶Clic sur Analyse.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    ▶ Copie ce lien dans ta réponse.

    ▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
    0
    1. Pow33
       
      Bonjour ! J'ai exactement le même problème que Sasa ! J'ai donc commencé à suivre tes conseils mais j'ai compris à la suite que j'avais besoin de toi donc pourrais-tu m'aider s'il te plait , Merci d'avance ! :)
      0
  2. Sasa
     
    Oui merci beaucoup pour ta réponse, mais j'ai encore une question dois-je arrêté le scann d'avira qui est en cours ? Dois-je fermer toutes autres fenêtres et applications ?
    0
  3. gen-hackman
     
    non laisse finir avira , poste son rapport , puis fais OTL par la suite :)
    0
  4. Sasa
     
    Ok merci ! mais ça risque d'être long puisque avira en est qu'à 11.7 %
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. gen-hackman
     
    ok stoppe -le alors , et on en fera un plus tard
    0
  7. Sasa
     
    Ok je fais ça tout de suite mais je suis en train de discuter sur msn est-ce necessaire de fermer ou pas ?
    0
  8. sasa
     
    Celà fait 10 bonnes minutes que OTL ne répond pas :s
    Je vais fermer et recommencer
    0
  9. gen-hackman
     
    tu l'as executé avec le clic droit "executer en tant qu'administrateur" ?
    0
  10. gen-hackman
     
    ▶ Télécharge TDSSKiller

    ▶ Lance le ( Utilisateurs de vista/Seven -> Clic droit puis " Exécuter en tant que........... " )

    L'outil va télécharger automatiquement la dernière version de TDSSKiller puis lancera une analyse.

    Patiente pendant le scan. A la fin de l'analyse, appuies sur une touche. Un rapport va s'ouvrir.

    ▶ Copie/Colle son contenu dans ta prochaine réponse.

    Note : Le rapport se trouve également sous C:\tdsskiller.txt.
    0
  11. sasa
     
    Je sais pas si c'est normal quand je fais exectuer... il est écrit "l'éditeur n'a pas pu être vérifié Voulez vous exécuter ce logiciel" "executer" ou "annuler" et en bas Ce fichier ne contient pas de signature numérique valide authentifiant son éditeur. N'exécuter que des logiciels des éditeurs approuvés par vous.

    J'ai cliqué sur exécuter et j'ai vu une fenêtre noir mais pas de téléchargement j'ai fermé j'ai eu peur. c'était normal ou pas ?
    0
  12. gen-hackman
     
    as-tu suivi cette consigne ?

    si tu as Vista ou windows 7 => clic droit "executer en tant que...."
    0
  13. gen-hackman
     
    desactive tes protections puis enregistre ceci sur ton bureau

    Pre_Scan

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    une fois telechargé lance-le , laisse faire le scan puis colle le contenu de " rapport.txt" qui apparaitra à son terme , sur le bureau.
    0
  14. sasa
     
    Désolée pour le retard merci de pas me laisser tombé gen-hackman !

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan 1.0.0.26 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    ¤ XP | Vista | Seven - 32/64 ¤

    Mis à jour le 10/04/2011 | 20.30 par g3n-h@ckm@n
    Utilisateur : Samantha (Administrateurs)
    Ordinateur : PC-DE-LAUTRE

    Système d'exploitation : Windows Vista (TM) Home Premium (32 bits)
    Architecture OS : X86
    Internet Explorer : 8.0.6001.19019
    Mozilla Firefox : 3.0.19 (fr)

    Scan : 22:18:38 | 10/04/2011

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    [HKLM\..\..\Winlogon] | Shell -> Aucune modification : explorer.exe -> explorer.exe
    [HKLM\..\..\Winlogon] | AutoRestartShell -> Aucune modification : 1 -> 1
    [HKLM\..\..\Winlogon] | userinit -> Modification apportée : C:\Windows\system32\ezShellStart.exe -> C:\Windows\system32\userinit.exe,
    [HKLM\..\..\Winlogon] | PowerDownAfterShutdown -> Modification apportée : 0 -> 1

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Associations ¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    [.exe] : exefile
    [exefile | command] : "%1" %*
    [.com] : comfile
    [comfile | command] : "%1" %*
    [.scr] : scrfile
    [scrfile | command] : "%1" /S
    [.bat] : batfile
    [batfile | command] : "%1" %*
    [.cmd] : cmdfile
    [cmdfile | command] : "%1" %*
    [.pif] : piffile
    [piffile | command] : "%1" %*
    [Firefox | Command] | @ -> Modification apportée : C:\Program Files\Mozilla Firefox\firefox.exe -> "C:\Program Files\Mozilla Firefox\Firefox.exe"
    [Firefox - Safemode | Command] | @ -> Aucune modification : "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode -> "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode
    [IE | Command] | @ -> Modification apportée : C:\Program Files\Internet Explorer\iexplore.exe -> "C:\Program Files\Internet Explorer\iexplore.exe"
    [Applications | IE | Command] | @ -> Aucune modification : "C:\Program Files\Internet Explorer\iexplore.exe" %1 -> "C:\Program Files\Internet Explorer\iexplore.exe" %1
    [Chrome | Command] | @ -> Aucune modification : "C:\Program Files\Google\Chrome\Application\chrome.exe" -> "C:\Program Files\Google\Chrome\Application\chrome.exe"

    ¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

    [Ndisuio] | Start -> Aucune modification : 3 -> 3
    [lmhosts] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [LanmanWorkstation] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [LanmanServer] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [agp440] | Start -> Modification apportée : 3 -> 2 : Service Redemarré
    [Bits] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [CryptSvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [EapHost] | Start -> Modification apportée : 3 -> 2 : Service Actif
    [Wlansvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [SharedAccess] | Start -> Modification apportée : 4 -> 2 : Service Redemarré
    [windefend] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [wuauserv] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [WerSvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [wscsvc] | Start -> Aucune modification : 2 -> 2 : Service Actif

    ¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

    [HKCU | Main] | Start Page -> Modification apportée : http://google.fr/ -> http://www.google.com/
    [HKCU | Main] | Local Page -> Aucune Modification : C:\Windows\system32\blank.htm -> C:\Windows\system32\blank.htm
    [HKCU | Main] | Search Page -> Modification apportée : http://go.microsoft.com/fwlink/?LinkId=54896 -> http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

    [HKLM | Main] | Start Page -> Modification apportée : http://ie.redirect.hp.com/... -> http://go.microsoft.com/fwlink/?LinkId=69157
    [HKLM | Main] | Local Page -> Aucune Modification : C:\Windows\System32\blank.htm -> C:\Windows\System32\blank.htm
    [HKLM | Main] | Default_Search_URL -> Aucune Modification : http://go.microsoft.com/fwlink/?LinkId=54896 -> http://go.microsoft.com/fwlink/?LinkId=54896
    [HKLM | Main] | Default_Page_URL -> Modification apportée : http://ie.redirect.hp.com/... -> http://go.microsoft.com/fwlink/?LinkId=69157
    [HKLM | Main] | Search Page -> Aucune Modification : http://go.microsoft.com/fwlink/?LinkId=54896 -> http://go.microsoft.com/fwlink/?LinkId=54896

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processus ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    C:\Windows\explorer.exe -> Processus stoppé
    C:\Windows\sttray.exe -> Processus stoppé

    ¤¤¤¤¤¤¤¤¤¤ Clés supprimées et Fichier mis en quarantaine ¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤¤¤¤¤¤ IFEO ¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤¤¤¤¤¤ Mountpoints2 ¤¤¤¤¤¤¤¤¤¤

    Supprimé : [HKCU\..\..\Mountpoints2\{61c2c71f-36a3-11df-966a-001eece51584}] -> command : F:\U3ROM/flyhigh.exe
    Supprimé : [HKCU\..\..\Mountpoints2\{8168f137-d60b-11de-b753-806e6f6e6963}] -> command : H:\LaunchU3.exe -a
    Supprimé : [HKCU\..\..\Mountpoints2\{9b77e645-21c7-11de-af95-001eece51584}] -> command : F:\Loader.EXE

    ¤¤¤¤¤¤¤¤¤¤ MBR ¤¤¤¤¤¤¤¤¤¤

    MBRCheck, version 1.2.3

    (c) 2010, AD

    Command-line: -za C:\MBR\MBR.bin

    Windows Version: Windows Vista Home Premium Edition

    Windows Information: Service Pack 2 (build 6002), 32-bit

    Base Board Manufacturer: Compal

    BIOS Manufacturer: Hewlett-Packard

    System Manufacturer: Hewlett-Packard

    System Product Name: HP Pavilion dv7 Notebook PC

    Logical Drives Mask: 0x0000001c

    Analysis of file "C:\MBR\MBR.bin":

    Unknown MBR code

    Done!
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    Fin : 22:19:17

    ¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤
    0
  15. sasa
     
    J'ai remarqué aussi que quand je vais dans Documents -> Images (par exemples)
    j'ai un message d'erreur "n'est pas accessible" "accès refusé".
    Alors que quand je vais directrement dans Images j'ai pas ce problème.
    Je suis pas rassuré load_tdsskiller pourrait en être à l'origine ?

    Merci
    0
  • 1
  • 2
  • 3