Virus TR/crypt.xpack.gen3
JM. Moog
-
JM M -
JM M -
Bonjour,
J'ai eu le virus TR/crypt.xpack.gen3.
J'ai déjà suivi les conseils de vos forums et la ncer le scan ZHPDIAG.
Comment faire avec le résultat ?
Merci beaucoup pour votre aide !
J'ai eu le virus TR/crypt.xpack.gen3.
J'ai déjà suivi les conseils de vos forums et la ncer le scan ZHPDIAG.
Comment faire avec le résultat ?
Merci beaucoup pour votre aide !
22 réponses
- 1
- 2
Suivant
-
bonjour
Utilise ce logiciel de diagnostic :
* Télécharge https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html (de Nicolas Coolman)
* Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau)
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur http://www.cijoint.fr , puis copie/colle le lien fourni dans ta prochaine réponse sur le forum -
Merci pour ton message maxou45.
Mais apparemment ça a l'air bon, j'ai simplement lancé le scan malwarebyte et supprimé les fichiers infectés.
Pour l'instant je n'ai plus d'alarme antivirus, et à première vue je n'ai pas trouvé de dégâts à part la barre quick launch. -
tu fais comme tu veux, mais je dois te prevenir, mbam n'est pas suffisant pour te desinfecter completement.
-
Merci de m'en avoir averti. J'ai lancé le diagnostic et enregistré le rapport
http://www.cijoint.fr/cjlink.php?file=cj201106/cijN2T7fiQ.txt
Merci de me dire ce qu'il en est. -
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
C'est bien ce que je pensais, tu as de nombreuses infections, et des barre d'outils infectieuses.
Nous allons nous occuper en premier des "toolbar" grace a AD-Remover.
Ad-Remover est un outil spécifique conçu par C_XX , son rôle est la suppression d'adwares comme Eorezo, MyWebSearch, Navipromo, Winsudate, Search Settings, installpédia, ask etc...
Télécharger AD_Remover de C_XX sur http://www.teamxscript.org/adremoverTelechargement.html
Tu es sous XP , Double clic sur AD-R.exe sur le bureau
L'installation se fait automatiquement .
Accepte l'avertissement qui suit.
Clic sur Scanne
Patiente le temps de la recherche
Poste le rapport qui apparait à la fin .(Il est sauvegardé aussi sous C:\Ad-report.log)
Clic sur Quitter
Ne lance pas le nettoyage tant que je ne te l'ai pas dit
-
-
Relance Ad-remover.exe, par un double-clique sur l'icône Ad-remover située sur ton Bureau.
Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
Sur la page, clique sur le bouton «Nettoyer»
Laisse travailler l'outil
A la fin du scan, il est possible que AD-Remover te demande de redémarrer ton PC, clique sur le bouton Oui. Si ton PC ne redémarre pas, fais le toi même.
Le rapport est situé C:\Ad-reportClean[X].Txt où X est un numéro.
Ouvre-le
Sélectionne le contenu
Puis copie le tout avec les touches clavier : ctrl+c
Poste ton résultat dans ta prochaine réponse en utilisant les touches clavier : ctrl+v (coller)
-
======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org
C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 18:16:01 le 14/06/2011, Mode normal
Microsoft® Windows Vista(TM) Édition Familiale Premium (X86)
administrateur@K-JM (System manufacturer P5K-E)
============== ACTION(S) ==============
Dossier supprimé: C:\Users\administrateur\AppData\LocalLow\pdfforge
Dossier supprimé: C:\Program Files\pdfforge Toolbar
Dossier supprimé: C:\Users\administrateur\AppData\LocalLow\PriceGong
Dossier supprimé: C:\Users\administrateur\AppData\LocalLow\Search Settings
(!) -- Fichiers temporaires supprimés.
Clé supprimée: HKLM\Software\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé supprimée: HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé supprimée: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\gpyjt
Clé supprimée: HKLM\Software\Freeze.com
Clé supprimée: HKLM\Software\pdfforge
Clé supprimée: HKLM\Software\Search Settings
Clé supprimée: HKCU\Software\Search Settings
Clé supprimée: HKCU\Software\AppDataLow\Software\pdfforge
Clé supprimée: HKCU\Software\AppDataLow\Software\PriceGong
Clé supprimée: HKLM\Software\Classes\Installer\Products\A6EB8FE4C9986914497E92C7F5A702E3
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\A6EB8FE4C9986914497E92C7F5A702E3
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{4EF8BE6A-899C-4196-94E7-297C5F7A203E}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{4EF8BE6A-899C-4196-94E7-297C5F7A203E}
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Search Settings
Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|SearchSettings
Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{B922D405-6D13-4A2B-AE89-08A030DA4402}
============== SCAN ADDITIONNEL ==============
**** Mozilla Firefox Version [3.6.17 (fr)] ****
-- C:\Users\administrateur\AppData\Roaming\Mozilla\FireFox\Profiles\cg5uj8mz.default --
Prefs.js - browser.download.lastDir, E:\\Images\\Zip
Prefs.js - browser.startup.homepage, hxxp://www.google.fr/
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.17
========================================
**** Internet Explorer Version [7.0.6000.16982] ****
HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_URLSearchHooks|{08C06D61-F1F3-4799-86F8-BE1A89362C85} - "Search Class" (C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll)
HKCU_ElevationPolicy\{6C4E5227-FB64-416F-B543-57668BE6375A} - C:\Program Files\Orange\Launcher\Launcher.exe (France Telecom SA)
HKLM_ElevationPolicy\{F365CC6C-656A-4108-8CF0-16DF98696395} - C:\Program Files\Canon\ZoomBrowser EX\Program\ZoomBrowser.exe (?)
HKLM_Extensions\{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - "?" (?)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
BHO\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - "SSVHelper Class" (C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll)
========================================
C:\Program Files\Ad-Remover\Quarantine: 45 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)
C:\Ad-Report-CLEAN[1].txt - 14/06/2011 18:16:33 (4689 Octet(s))
C:\Ad-Report-SCAN[1].txt - 14/06/2011 15:10:16 (5045 Octet(s))
Fin à: 18:17:46, 14/06/2011
============== E.O.F ============== -
bien
Nous allons utiliser un outil plus generaliste pour confirmer (MBAM)
* Télécharge et installe https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
* A la fin de l'analyse, clique sur "Afficher les résultats"
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.
https://www.androidworld.fr/ (Tutoriel pour t'aider).
Fais redémarrer ton ordinateur normalement et poste le rapport dans ta prochaine réponse.
REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. -
Bonsoir,
Voici le résultat:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Version de la base de données: 6848
Windows 6.0.6000
Internet Explorer 7.0.6000.16982
15/06/2011 21:34:11
mbam-log-2011-06-15 (21-34-11).txt
Type d'examen: Examen complet (C:\|D:\|E:\|M:\|S:\|V:\|)
Elément(s) analysé(s): 417024
Temps écoulé: 1 heure(s), 29 minute(s), 27 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté) -
-
Voici le lien, et encore merci pour ton aide depuis quelques jours !!
http://www.cijoint.fr/cjlink.php?file=cj201106/cijLMi15LC.txt -
nous allons utiliser USB Fix (créé par El Desaparecido & C_XX)
* Télécharge http://www.teamxscript.org/usbfixTelechargement.htm
sur ton Bureau
Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
* Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
* Lance USBFix (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur).
* Au menu principal, clique sur Recherche
* Laisse travailler l'outil
* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)
Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus -
-
Cela sert a te desinfecter... tu es plein d'infections
Si tu en as deja marre .... tu n'es pas au bout de tes peines...
________________________
Formation Qualification Helper -
Avira ne détecte rien ?
Voici en tout cas le résultat...
http://www.cijoint.fr/cjlink.php?file=cj201106/cijLNt0hId.txt -
cette ligne montre que tu etais encore infecté
################## | Éléments infectieux |
Présent! F:\AUTORUN.INF
---------------------------------------------------------
il reste aussi des traces de tes infections, nous allons utiliser ZHP FIX
Utilisation de ZHPFIX
* Copie le tout le texte présent ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
sysrestore [HKCU\Software\mc] O43 - CFD: 14/09/2009 - 20:39:58 - [0] ----D- C:\Program Files\Freeze.com [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D2A2595C-4FE4-4315-AA9B-19DBD6271B71}] [HKLM\Software\Classes\Installer\Features\a6eb8fe4c9986914497e92c7f5a702e3]
* Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »).
Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
* Clique sur le bouton « GO » pour lancer le nettoyage
Il va t'etre demandé de redémarrer l'ordinateur, refuse sinon le script va être interrompu
* Copie/colle la totalité du rapport dans ta prochaine réponse
( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )
-
Bonsoir maxou45,
Et voici le rapport...
Rapport de ZHPFix 1.12.3307 par Nicolas Coolman, Update du 10/06/2011
Fichier d'export Registre : C:\ZHPExportRegistry-17-06-2011-21-03-04.txt
Run by administrateur at 17/06/2011 21:03:04
Windows Vista Home Premium Edition, 32-bit (Build 6000)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Clé(s) du Registre ==========
SUPPRIME HKCU\Software\mc
SUPPRIME HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D2A2595C-4FE4-4315-AA9B-19DBD6271B71}
SUPPRIME HKLM\Software\Classes\Installer\Features\a6eb8fe4c9986914497e92c7f5a702e3
========== Dossier(s) ==========
SUPPRIME C:\Program Files\Freeze.com
========== Restauration Système ==========
Point de restauration du système créé avec succès
========== Récapitulatif ==========
3 : Clé(s) du Registre
1 : Dossier(s)
1 : Restauration Système
End of the scan -
-
- 1
- 2
Suivant