PCK.ExeCryptor

Résolu
Skanvak Messages postés 557 Date d'inscription   Statut Membre Dernière intervention   -  
 g3n-h@ckm@n -
Bonjour,

Antivir d'avira a détecté ce virus dans un de mes .exe de jeux PCK.ExeCryptor. J'ai fait supprimmé le programme. Quelqu'un pourrait m'aider à vérifier si ma désinfection est bien terminée. Merci, d'avance.



Accessoirement j'ai un reste de dommage qui empêche Windows defender de fonctionner.

Cordialement,

Skanvak

69 réponses

  • 1
  • 2
  • 3
  • 4
Résumé de la discussion

Suite à une détection d'un virus par Avira dans un fichier .exe et à des problèmes avec Windows Defender, il faut vérifier que la désinfection est bien terminée. La meilleure réponse préconise d'utiliser Dr.Web CureIt en mode sans échec, d'effectuer une analyse complète si nécessaire, puis de désinfecter les éléments détectés et d'enregistrer le rapport sur le bureau. Le rapport, nommé DrWeb.csv, permet ensuite de partager les résultats via un lien dédié et d'anticiper un redémarrage nécessaire, certains fichiers déplacés ou réparés ne se finalisant qu'au redémarrage. D'autres réponses suggèrent ensuite des outils complémentaires comme DelFix, CCleaner et Malwarebytes pour nettoyer les restes, vérifier les mises à jour et renforcer la sécurité, notamment via un pare-feu et des défragmentations.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. g3n-h@ckm@n
     
    salut

    Télécharge ici :OTL

    enregistre le sur ton Bureau.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    => Clique ici pour voir la Configuration

    ▶Clic sur Analyse.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    ▶ Copie ce lien dans ta réponse.

    ▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
    0
  2. Skanvak Messages postés 557 Date d'inscription   Statut Membre Dernière intervention   2
     
    OTL.txt : http://www.cijoint.fr/cjlink.php?file=cj201106/cijEZr88ni.txt

    Extras.txt : http://www.cijoint.fr/cjlink.php?file=cj201106/cijoxvXCBl.txt

    Le scan c'est bien passé. Aucun problème.

    J'ai téléchargé un patch pour le jeu incriminée dans le but de le réparer après la suppression du fichier et anti-vir a redit qu'il y avait un PCK/execryptor dans le F:\Jeux\Wars in America\AGESettings.exe

    Merci de m'aider.
    0
  3. g3n-h@ckm@n
     
    supprime st_k et key de ton bureau

    supprime l'icone txt dans ton disque C:\

    ▶ Télécharge DelFix sur ton bureau.

    ▶ Lance le, tape suppression puis valide

    Patiente pendant le scan jusqu'à l'ouverture du rapport.

    ▶ Copie/Colle le contenu du rapport dans ta prochaine réponse.

    Note : Le rapport se trouve également sous C:\DelFix.txt

    tu peux le desinstaller

    ================================

    desactive ton antivirus
    desactive Windows defender si présent
    desactive ton pare-feu

    Ferme toutes tes appilications en cours

    telecharge et enregistre ceci sur ton bureau :

    Pre_Scan

    s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

    Avertissement: Il y aura une extinction courte du bureau --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.
    0
  4. Skanvak Messages postés 557 Date d'inscription   Statut Membre Dernière intervention   2
     
    Avant de oouvoir faire quoique ce soit, j'ai eu un bug graphique (ecran blanc et freeze) et windows 7 ne se charge pas même en mode sans échec.
    Ecran noir et souris qui marche.

    Penses tu que ce soit plus simple de reinstaller le système.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. g3n-h@ckm@n
     
    tant que la piste des infections n'est pas virée non
    0
  7. Skanvak Messages postés 557 Date d'inscription   Statut Membre Dernière intervention   2
     
    Rapport Del.fix

    # DelFix v8.0 - Rapport créé le 19/06/2011 à 14:38
    # Mis à jour le 01/06/11 à 13h par Xplode
    # Système d'exploitation : Windows 7 Home Premium (64 bits) [version 6.1.7601]
    # Nom d'utilisateur : Skanvak - ZEUS (Administrateur)
    # Exécuté depuis : C:\Users\Skanvak\Desktop\delfix.exe
    # Option [Suppression]

    ~~~~~~ Dossier(s) ~~~~~~

    Supprimé : C:\Combofix
    Supprimé : C:\Kill'em
    Supprimé : C:\Qoobox
    Supprimé : C:\Program Files (x86)\ZHPDiag
    Supprimé : C:\Users\Skanvak\Desktop\RK_Quarantine
    Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

    ~~~~~~ Fichier(s) ~~~~~~

    Supprimé : C:\ComboFix.txt
    Supprimé : C:\PhysicalDisk0_MBR.bin
    Supprimé : C:\Windows\grep.exe
    Supprimé : C:\Windows\MBR.exe
    Supprimé : C:\Windows\NIRCMD.exe
    Supprimé : C:\Windows\PEV.exe
    Supprimé : C:\Windows\sed.exe
    Supprimé : C:\Windows\SWREG.exe
    Supprimé : C:\Windows\SWSC.exe
    Supprimé : C:\Windows\SWXCACLS.exe
    Supprimé : C:\Windows\zip.exe
    Supprimé : C:\Users\Skanvak\Desktop\ComboFix.exe
    Supprimé : C:\Users\Skanvak\Desktop\Extras.Txt
    Supprimé : C:\Users\Skanvak\Desktop\OTL.exe
    Supprimé : C:\Users\Skanvak\Desktop\OTL.Txt
    Supprimé : C:\Users\Skanvak\Desktop\Pre_scan.exe
    Supprimé : C:\Users\Skanvak\Desktop\Pre_Scan_2.txt
    Supprimé : C:\Users\Skanvak\Desktop\Pre_Script.exe
    Supprimé : C:\Users\Skanvak\Desktop\RKreport[1].txt
    Supprimé : C:\Users\Skanvak\Desktop\RogueKiller.exe
    Supprimé : C:\Users\Skanvak\Desktop\ZHPDiag.txt
    Supprimé : C:\Users\Skanvak\Desktop\ZHPDiag2.Txt
    Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
    Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
    Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk

    ~~~~~~ Registre ~~~~~~

    Clé Supprimée : HKCU\SOFTWARE\g3n-h@ckm@n
    Clé Supprimée : HKLM\Software\OldTimer Tools
    Clé Supprimée : HKLM\Software\Swearware
    Clé Supprimée : HKLM\Software\Classes\.cfxxe
    Clé Supprimée : HKLM\Software\Classes\cfxxefile
    Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
    Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

    ~~~~~~ Autre ~~~~~~

    -> ESET Online Scanner ... Désinstallé avec succès
    -> Prefetch vidé

    ########## EOF - "C:\DelFixSuppr.txt" - [2286 octets] ##########
    0
  8. Skanvak Messages postés 557 Date d'inscription   Statut Membre Dernière intervention   2
     
    le pre-scan : http://www.cijoint.fr/cjlink.php?file=cj201106/cijDL6IoL8.txt

    Avant le delfix j'avais fait un redémarrage avec la dernière configuration connu.
    Le pre-scan a bien marché, mais le bureau n'ai pas revenu. J'ai pu redémarrer proprement ceci dit sans problème.
    0
  9. g3n-h@ckm@n
     
    c'est quoi ca ?

    F:\Programmes\Storm Eagle Studios\SES_Form.exe
    0
  10. Skanvak Messages postés 557 Date d'inscription   Statut Membre Dernière intervention   2
     
    Le logiciel d'achat en ligne de Storm eagle. A priori pas de problème. Je viens de m'apercevoir qu'il démarrait en caché mais sinon pas de problème.
    0
  11. g3n-h@ckm@n
     
    fais glisser une icone n'importe laqueele sur Pre_scan , pre_script va apparaitre

    selectionne ce texte sans les lignes , en une seule fois en le mettant en surbrillance :
    ___________________________________________________
    <gras>file::
    C:\ProgramData\w1885v330b8ote08pe6p0v3vf74f55iu0euahdcidf
    C:\Users\Skanvak\AppData\Local\fotw
    C:\Users\Skanvak\AppData\Local\housecall.guid.cache
    C:\Users\Skanvak\AppData\Local\Temp1.html
    C:\Users\Skanvak\AppData\Local\Temp20.html
    C:\Users\Skanvak\AppData\Local\w1885v330b8ote08pe6p0v3vf74f55iu0euahdcidf

    folder::
    C:\Users\Skanvak\AppData\Roaming\fotw

    Registry::
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Messenger (Yahoo!)"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SSBkgdUpdate"="-
    "SunJavaUpdateSched"=-
    "DivXUpdate"=

    ___________________________________________________

    copie-le (ctrl+c ou clique droit sur la selection puis => copier) puis lance Pre_Script qui est sur ton bureau

    colle dans le document texte qui s'ouvre , puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    poste Pre_Script.txt qui apparaitra à coté de l'executable en fin de travail
    0
  12. Skanvak Messages postés 557 Date d'inscription   Statut Membre Dernière intervention   2
     
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

    Utilisateur : Skanvak (Administrateurs)
    Ordinateur : ZEUS
    Système d'exploitation : Windows 7 Home Premium (64 bits)
    Internet Explorer : 9.0.8112.16421
    Mozilla Firefox : 4.0.1 (fr)

    Switchs possibles :

    processes:: | file:: | folder::
    Registry:: | Driver:: | replace::
    txt:: | Host:: | DNS:: | NsLook::
    Command:: | list:: | attrib::

    Script : 15:33:03

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    switchs :

    folder::
    C:\Users\Skanvak\AppData\Roaming\fotw

    Registry::
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Messenger (Yahoo!)"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SSBkgdUpdate"="-
    "SunJavaUpdateSched"=-
    "DivXUpdate"=

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    Modification du registre effectuéé

    ¤

    Supprimé : C:\Users\Skanvak\AppData\Roaming\fotw

    ¤

    explorer.exe -> Processus redémarré

    Fin : 15:33:03

    ¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
    0
  13. g3n-h@ckm@n
     
    oups j'ai oublié un truc ^^ refais-en un avec ca :

    ___________________________________________________
    file::
    C:\ProgramData\w1885v330b8ote08pe6p0v3vf74f55iu0euahdcidf
    C:\Users\Skanvak\AppData\Local\housecall.guid.cache
    C:\Users\Skanvak\AppData\Local\Temp1.html
    C:\Users\Skanvak\AppData\Local\Temp20.html
    C:\Users\Skanvak\AppData\Local\w1885v330b8ote08pe6p0v3vf74f55iu0euahdcidf
    ________________________________________________________
    ¤¤¤¤¤¤¤¤¤¤ g3n-h@ckm@n ¤¤¤¤¤¤¤¤¤¤
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    0
  14. Skanvak Messages postés 557 Date d'inscription   Statut Membre Dernière intervention   2
     
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

    Utilisateur : Skanvak (Administrateurs)
    Ordinateur : ZEUS
    Système d'exploitation : Windows 7 Home Premium (64 bits)
    Internet Explorer : 9.0.8112.16421
    Mozilla Firefox : 4.0.1 (fr)

    Switchs possibles :

    processes:: | file:: | folder::
    Registry:: | Driver:: | replace::
    txt:: | Host:: | DNS:: | NsLook::
    Command:: | list:: | attrib::

    Script : 15:40:45

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    switchs :

    file::
    C:\ProgramData\w1885v330b8ote08pe6p0v3vf74f55iu0euahdcidf
    C:\Users\Skanvak\AppData\Local\housecall.guid.cache
    C:\Users\Skanvak\AppData\Local\Temp1.html
    C:\Users\Skanvak\AppData\Local\Temp20.html
    C:\Users\Skanvak\AppData\Local\w1885v330b8ote08pe6p0v3vf74f55iu0euahdcidf

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    Supprimé : C:\ProgramData\w1885v330b8ote08pe6p0v3vf74f55iu0euahdcidf
    Supprimé : C:\Users\Skanvak\AppData\Local\housecall.guid.cache
    Supprimé : C:\Users\Skanvak\AppData\Local\Temp1.html
    Supprimé : C:\Users\Skanvak\AppData\Local\Temp20.html
    Supprimé : C:\Users\Skanvak\AppData\Local\w1885v330b8ote08pe6p0v3vf74f55iu0euahdcidf

    ¤

    explorer.exe -> Processus redémarré

    Fin : 15:40:45

    ¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
    0
  15. g3n-h@ckm@n
     
    ▶ Télécharge Dr Web CureIt sur ton Bureau :

    ▶ redemarre en mode sans échec

    ▶- Double clique (clic droit "en tant qu'admin" sous Vista) <drweb-cureit.exe> et ensuite clique sur <Analyse>;

    ▶- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.

    Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".

    ▶- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
    ▶- De retour à la fenêtre principale : clique pour activer <Analyse complète>

    selectionne tous les disques

    ▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
    ▶- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
    ▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
    ▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv

    ▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses

    ensuite :

    tu m'envoies l'archive comme ceci :

    clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.

    ▶- Ferme Dr.Web Cureit
    ▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).

    0
  16. Skanvak Messages postés 557 Date d'inscription   Statut Membre Dernière intervention   2
     
    Aucun virus détecté, donc il ne me propose pas de rapport (ligne grisée).

    Windows defender ne fonctionne toujours pas (même code erreur).
    0
  17. Skanvak Messages postés 557 Date d'inscription   Statut Membre Dernière intervention   2
     
    L'erreur de windows defender est : erreur 0x80070424

    J'ai essayé sfc /scannow mais il dit que tout est cohérent. C'est un dommage de la précédente infection.
    0
  18. g3n-h@ckm@n
     
    telecharge winupdatefix , coche tout puis executer

    http://www.general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/4-winupdatefix
    0
  19. Skanvak Messages postés 557 Date d'inscription   Statut Membre Dernière intervention   2
     
    Le winupdatefix s'est bien passé mais...

    Toujours la même erreur pour windows defender.

    Le centre de maintenance partie sécurité n'affiche plu (enfin depuis quelque redémarrage) si l'anti-virus et l'anti-spyware est activé ou non.
    0
  • 1
  • 2
  • 3
  • 4