comment se debarrasser de tr/crypt.xpack.gen3 Fermé

Question

Bonjour, 
 
j'ai été infecté par ce virus qui est en train de pourrir mon ordi....
j'ai plus rien sur le bureau et mon deuxieme disc dur me dit qu'il es vide.... 
est ce que quelqu'un pourrait m'aidé ??
j'ai fait un scan grace a usb fix si ca peut avancer :

############################## | UsbFix 7.049 | [Suppression]

Utilisateur: Anna Alvarado (Administrateur) # PC-DE-ANNAALVAR [Acer Aspire 5720Z]
Mis à jour le 12/07/2011 par TeamXscript
Lancé à 22:14:54 | 23/07/2011
Site Web: www.teamxscript.org...
Submit your sample: www.teamxscript.org...
Contact: TeamXscript.ElDesaparecido@gmail.com

CPU: Intel(R) Pentium(R) Dual CPU T2330 @ 1.60GHz
CPU 2: Intel(R) Pentium(R) Dual CPU T2330 @ 1.60GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-Bit) # Service Pack 2
Internet Explorer 7.0.6002.18005

Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 10.0.1.52 [(!) Disabled | (!) Outdated]
RAM -> 3069 Mo 
C:\ (%systemdrive%) -> Disque fixe # 112 Go (41 Go libre(s) - 37%) [ACER] # NTFS
D:\ -> Disque fixe # 111 Go (111 Go libre(s) - 100%) [] # NTFS
E:\ -> CD-ROM

################## | Éléments infectieux |

Supprimé! C:\$RECYCLE.BIN\S-1-5-21-1055372112-674028495-1720205032-1000
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-1055372112-674028495-1720205032-1000
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-1840811153-2238875290-100559040-1000
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-2637485019-3563608271-1161053387-1000
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-2762576914-422673097-240679751-1000
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-3953796231-3067324968-3177858951-1000

################## | Registre |

Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr

################## | Mountpoints2 |


################## | Listing |

[23/07/2011 - 22:17:27 | SHD ] C:\$RECYCLE.BIN
[10/08/2007 - 09:34:33 | N | 3380] C:\-20070810.log
[10/01/2011 - 06:00:52 | N | 5335] C:\-20110110.log
[14/03/2011 - 10:30:12 | D ] C:\026ddd227293077c4ad531
[10/01/2011 - 03:25:10 | D ] C:\Acer
[18/09/2006 - 23:43:36 | N | 24] C:\autoexec.bat
[10/08/2007 - 16:40:27 | D ] C:\Book
[30/05/2011 - 06:43:37 | D ] C:\Boot
[11/04/2009 - 08:36:36 | RASH | 333257] C:\bootmgr
[10/08/2007 - 16:43:42 | N | 8192] C:\BOOTSECT.BAK
[18/09/2006 - 23:43:37 | N | 10] C:\config.sys
[02/11/2006 - 15:02:03 | SHD ] C:\Documents and Settings
[10/01/2011 - 11:55:21 | D ] C:\DRV
[23/07/2011 - 22:10:56 | ASH | 3219193856] C:\hiberfil.sys
[10/08/2007 - 08:25:09 | D ] C:\Intel
[10/01/2011 - 05:51:00 | N | 91] C:\MCEDS.log
[10/01/2011 - 05:49:45 | N | 91] C:\MDisc.log
[10/01/2011 - 05:50:10 | N | 91] C:\MDR.log
[10/08/2007 - 09:43:42 | D ] C:\MyWorks
[23/07/2011 - 22:10:54 | ASH | 3532988416] C:\pagefile.sys
[30/05/2011 - 02:28:09 | D ] C:\PerfLogs
[10/01/2011 - 05:50:42 | N | 91] C:\PMovie.log
[10/01/2011 - 05:50:28 | N | 437] C:\PowerDV.log
[17/07/2011 - 21:50:12 | D ] C:\Program Files
[23/07/2011 - 22:06:16 | HD ] C:\ProgramData
[10/08/2007 - 08:32:22 | N | 420] C:\RHDSetup.log
[10/01/2011 - 05:50:57 | N | 90] C:\SDMA.log
[10/08/2007 - 09:19:04 | N | 178] C:\setup.log
[23/07/2011 - 21:58:19 | SHD ] C:\System Volume Information
[23/07/2011 - 22:17:27 | D ] C:\UsbFix
[23/07/2011 - 22:14:56 | A | 3116] C:\UsbFix.txt
[10/01/2011 - 03:19:04 | D ] C:\Users
[10/01/2011 - 03:20:39 | N | 1151844] C:\vcredist_x86.log
[23/07/2011 - 22:11:41 | D ] C:\Windows
[23/07/2011 - 22:17:27 | SHD ] D:\$RECYCLE.BIN
[16/04/2009 - 21:46:14 | D ] D:\erData
[07/05/2009 - 11:57:25 | D ] D:\ProgramData
[16/04/2009 - 21:46:10 | SHD ] D:\System Volume Information

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
D:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-ANNAALVAR.zip
www.teamxscript.org...
Merci de votre contribution.

################## | E.O.F |



merci de votre aide....

sylvain


Configuration: Windows Vista / Internet Explorer 7.0

The_Spirou · Answer

Il faudrait lancer une analyse complete de ton ordi avec ton antivirus puis supprimer tous les vius détectés.

svnsvindal · Answer

merci deja fait et ca ne change riena  mon probleme...

The_Spirou · Answer

Tu peut essayer de télécharger Avast et de lancer une détection avec lui.

Utilisateur anonyme · Answer

Bonjour 

On va faire une analyse de ton systéme.  


* Télécharge ZHPDiag  ( de Nicolas coolman ).  
ou 
ZHPDiag  
ou
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou le lien FTP en secours :
ftp://zebulon.fr/ZHPDiag2.exe 

                                                  *********************** 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, " exécuter en tant qu'Administrateur /!\  
* Laisse toi guider lors de l'installation  
* Il se lancera automatiquement à la fin de l'installation  
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)  
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette  
* Héberge le rapport ZHPDiag.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles  puis copie/colle le lien fournit dans ta prochaine réponse sur le forum

svnsvindal · Answer

Hello, Merci de votre reponse.
voici le scan que j'ai pu faire..... 
j'attend votre reponse...

http://www.cijoint.fr/cjlink.php?file=cj201107/cij3rS8t9o.txt 


merci

Utilisateur anonyme · Answer

A faire dans l''ordre. 

1/ Copie/colle les lignes suivantes et place les dans ZHPFix :
2/Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
3/Clique sur l''icone représentant la lettre H (« coller les lignes Helper »)

----------------------------------------------------------
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\AutoKMS.job     
O69 - SBI: SearchScopes [HKCU] {1F096B29-E9DA-4D64-8D63-936BE7762CC5} - (Search the web (Babylon)) - http://search.babylon.com     
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4a99-B4B6-146BF802613B}]     
[HKLM\Software\Classes\CLSID\{2EECD738-5844-4a99-B4B6-146BF802613B}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49dd-99D7-DC866BE87DBC}]     
C:\Users\Anna Alvarado\AppData\LocalLow\BabylonToolbar     
O4 - HKLM\..\Run: [eRecoveryService] Clé orpheline 
O4 - Global Startup: C:\Users\Anna Alvarado\Desktop\Aller sur MSN.fr.lnk - Clé orpheline 
O23 - Service: Windows Installer (msiserver) - Clé orpheline 
M0 - MFSP: prefs.js [Anna Alvarado - 4gttr5ti.default] http://start.facemoods.com/?a=ddrnw 
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com 
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} . (...) (No version) -- (.not file.)     
O69 - SBI: SearchScopes [HKCU] {0D7562AE-8EF6-416d-A838-AB665251703A} [DefaultScope] - (Facemoods Search) - http://start.facemoods.com 
 O2 - BHO: (no name) - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} Clé orpheline     
EmptyTemp
FirewallRaz 
--------------------------------------------------------

- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
===========================================================

* Télécharge :https://www.superantispyware.com/
* Choisis "enregistrer" et enregistre-le sur ton bureau.
* Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.
* Créé une icône sur le bureau.
* Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.
* Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
* Sous Configuration and Preferences, clique sur le bouton "Preferences"
* Clique sur l'onglet "Scanning Control "
* Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :
* Close browsers before scanning
* Scan for tracking cookies
* Terminate memory threats before quarantining
* Laisse les autres lignes décochées.
* Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.
* Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".
* Dans la colonne de gauche, coche C:\Fixed Drive.
* Dans la colonne de droite, sous "Complete scan", clique sur "Perform Complete Scan"
* Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.
* A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.
* Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".
* Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.
* Pour recopier les informations sur le forum, fais ceci :
* après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
* Clique sur "Preferences" puis sur l'onglet "Statistics/Logs ".
* Dans "scanners logs", double-clique sur SUPERAntiSpyware Scan Log.
* Le rapport va s'ouvrir dans ton éditeur de texte par défaut.
* Copie son contenu dans ta réponse.
* Regarde bien le tuto SUPERAntiSpyware il est très bien expliqué.
* https://www.malekal.com/?s=SUPERAntiSpyware

svnsvindal · Answer

Hello, 
voici les 2 rapports :

ZHPFix :

Rapport de ZHPFix 1.12.3344 par Nicolas Coolman, Update du 21/07/2011
Fichier d'export Registre : 
Run by Anna Alvarado at 25/07/2011 12:19:36
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
ABSENT SearchScopes :{1F096B29-E9DA-4D64-8D63-936BE7762CC5}
ABSENT Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4a99-B4B6-146BF802613B}
ABSENT Key: HKLM\Software\Classes\CLSID\{2EECD738-5844-4a99-B4B6-146BF802613B}
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49dd-99D7-DC866BE87DBC}
ABSENT Key: Service: msiserver
SUPPRIME Key: SearchScopes :{0D7562AE-8EF6-416d-A838-AB665251703A}
SUPPRIME Key: CLSID BHO: {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96}

========== Valeur(s) du Registre ==========
ABSENT RunValue: eRecoveryService
SUPPRIME URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88}
ABSENT Valeur Standard Profile: FirewallRaz : 
ABSENT Valeur Domain Profile: FirewallRaz : 

========== Elément(s) de donnée du Registre ==========
SUPPRIME R1 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant

========== Préférences navigateur ==========
ABSENT C:\Users\Anna Alvarado\AppData\Roaming\Mozilla\Firefox\Profiles\4gttr5ti.default\prefs.js

========== Dossier(s) ==========
SUPPRIME Temporaires Windows: : 331

========== Fichier(s) ==========
ABSENT File: c:\windows	asks\autokms.job
ABSENT Folder/File: c:\users\anna alvarado\appdata\locallow\babylontoolbar
ABSENT File: c:\users\anna alvarado\desktop\aller sur msn.fr.lnk
SUPPRIME Temporaires Windows: : 1471


========== Récapitulatif ==========
8 : Clé(s) du Registre
4 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
1 : Dossier(s)
4 : Fichier(s)
1 : Préférences navigateur


========== Chemin du fichier rapport ==========
C:\Program Files\ZHPDiag\ZHPFixReport.txt



End of the scan in 00mn 07s


et celui de SAS :

SUPERAntiSpyware Scan Log
https://www.superantispyware.com/

Generated 07/25/2011 at 01:30 PM

Application Version : 4.55.1000

Core Rules Database Version : 7452
Trace Rules Database Version: 5264

Scan type       : Complete Scan
Total Scan Time : 00:57:59

Memory items scanned      : 614
Memory threats detected   : 0
Registry items scanned    : 8172
Registry threats detected : 0
File items scanned        : 29513
File threats detected     : 85

Adware.Tracking Cookie
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@weborama[1].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@serving-sys[2].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@tradedoubler[2].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@t.bbtrack[1].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@boursoramabanque.solution.weborama[1].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@www.googleadservices[5].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@cnam.solution.weborama[2].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@clubmed.solution.weborama[2].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@ww57.smartadserver[2].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@ad.zanox[1].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@sfr.solution.weborama[1].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@estat[1].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@ad3.adfarm1.adition[2].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@fl01.ct2.comclick[1].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@adtech[2].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@danone.solution.weborama[2].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@cofidis2.solution.weborama[1].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@www.googleadservices[4].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@doubleclick[1].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@invitemedia[1].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@pmu3.solution.weborama[2].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@www.googleadservices[6].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@test.coremetrics[2].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@mondialassistancefr.solution.weborama[2].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@bs.serving-sys[2].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@ads.horyzon-media[2].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@www.googleadservices[3].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@adfarm1.adition[1].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@apmebf[1].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@ad6media[1].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@xiti[1].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@media6degrees[2].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@imrworldwide[2].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@himedia.individuad[1].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@msnportal.112.2o7[1].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@www.googleadservices[7].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@fastclick[1].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@microsoftwllivemkt.112.2o7[1].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@statse.webtrendslive[2].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@barrirepoker.solution.weborama[2].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@efeducationfirst.112.2o7[1].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@ads.undertone[1].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@247realmedia[2].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@specificclick[1].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@ww381.smartadserver[1].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@samsung.solution.weborama[2].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@bouyguestelecom.solution.weborama[2].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@adviva[1].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@www.googleadservices[1].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@questionmarket[2].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@coachclub.solution.weborama[2].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@www.googleadservices[2].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@statse.webtrendslive[3].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@data.coremetrics[1].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@mediaplex[1].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@smartadserver[1].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@advertstream[1].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@ads.clicmanager[2].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@aimfar.solution.weborama[2].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@fr.sitestat[1].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@fr.sitestat[2].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@ad.jobs[1].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@ad.yieldmanager[1].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@atdmt[2].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\anna_alvarado@www.smartadserver[1].txt
	broadcast.piximedia.fr [ C:\Users\Anna Alvarado\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\RDTJLG8J ]
	cloud.video.unrulymedia.com [ C:\Users\Anna Alvarado\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\RDTJLG8J ]
	ds.serving-sys.com [ C:\Users\Anna Alvarado\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\RDTJLG8J ]
	macromedia.com [ C:\Users\Anna Alvarado\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\RDTJLG8J ]
	media.mtvnservices.com [ C:\Users\Anna Alvarado\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\RDTJLG8J ]
	media.scanscout.com [ C:\Users\Anna Alvarado\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\RDTJLG8J ]
	pubhdstats2.msvp.net [ C:\Users\Anna Alvarado\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\RDTJLG8J ]
	s0.2mdn.net [ C:\Users\Anna Alvarado\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\RDTJLG8J ]
	secure-us.imrworldwide.com [ C:\Users\Anna Alvarado\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\RDTJLG8J ]
	serving-sys.com [ C:\Users\Anna Alvarado\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\RDTJLG8J ]
	stat.easydate.biz [ C:\Users\Anna Alvarado\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\RDTJLG8J ]
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\Low\anna_alvarado@doubleclick[1].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\Low\anna_alvarado@advertising[1].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\Low\anna_alvarado@adtech[1].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\Low\anna_alvarado@content.yieldmanager[1].txt
	C:\Users\Anna Alvarado\AppData\Roaming\Microsoft\Windows\Cookies\Low\anna_alvarado@ad.yieldmanager[1].txt

Trojan.Agent/Gen-RogueWare
	C:\PROGRAMDATA\MALPIYUAHLDUX.EXE
	C:\Windows\Prefetch\MALPIYUAHLDUX.EXE-68D20AF0.pf

Trojan.Agent/Gen-FakeMSN
	C:\USERS\ANNA ALVARADO\APPDATA\ROAMING\MICROSOFT\NOTIFICATION DE CADEAUX MSN\LSNFIER.EXE
	C:\Windows\Prefetch\LSNFIER.EXE-31AE96D3.pf



voila par contre sauriez vous m'aider a retrouver mes données ? on dirai qu'elle sont caché.... le bureau est vide et le menu de la barre démarer egalement.. merci encore de votre aide.
j'attend votre reponse.

Utilisateur anonyme · Answer

Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next". 

tu as bien fais cette partie??

voila par contre sauriez vous m'aider a retrouver mes données ? on dirai qu'elle sont caché.... le bureau est vide et le menu de la barre démarer egalement.. merci encore de votre aide.

*	Télécharger sur le bureau RogueKiller
# Quitter tous les programmes en cours
# Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
#  lancer  RogueKiller.exe
# Lorsque demandé, taper 6 et valider
#  Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable),  colle son contenu dans la réponse   
# Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

svnsvindal · Answer

je pense avoir suivis les directive... j'y retourne pour verifier que je l'ai bien fait en attendant voici le rapport RK : RogueKiller V5.2.8 [23/07/2011] par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: Anna Alvarado [Droits d'admin] Mode: Raccourcis RAZ -- Date : 25/07/2011 14:33:21 Processus malicieux: 1 [SUSP PATH] BR040286.exe -- c:\windows\br040286.exe -> KILLED Attributs de fichiers restaures: Bureau: Success 4309 / Fail 0 Lancement rapide: Success 1 / Fail 0 Programmes: Success 15630 / Fail 0 Menu demarrer: Success 72 / Fail 0 Dossier utilisateur: Success 2257 / Fail 0 Mes documents: Success 6 / Fail 0 Mes favoris: Success 22 / Fail 0 Mes images: Success 10 / Fail 0 Ma musique: Success 2 / Fail 0 Mes videos: Success 2 / Fail 0 Disques locaux: Success 4965 / Fail 0 Sauvegarde: [NOT FOUND] Lecteurs: [C:] \Device\HarddiskVolume2 -- 0x3 --> Restored [D:] \Device\HarddiskVolume3 -- 0x3 --> Restored [E:] \Device\CdRom0 -- 0x5 --> Skipped Termine : << RKreport[1].txt >> RKreport[1].txt

svnsvindal · Answer

je crois que tout est revenu
un grand merci .... !!!
:D 
trop cool jvais pouvoir sauvegarder tout ca... et formater le reste...
merci encore a bientot

Svn

laurentdan · Answer

Bonjour à tous 
tous ce qui a disparu est en attribut caché, c'est tout bête à enlever. Il faut tout d'abord mettre roguekiller sur le bureau et le lancer, il va virer tous les rogues qui bloquent le système. 

Ensuite on passe un bon antivirus ou/et un bon spyware, genre doctor spyware, Avast ne marche pas dans ce cas là, ils vont virer une partie du virus. Puis on peut accéder à l'explorer de Windows, il faut aller dans les options des fichiers et dossiers, en haut à gauche normalement, puis aller dans affichage et cocher "afficher les fichiers cachés", afin de voir les fichiers avec l'attribut caché.  

Les fichiers et dossiers peuvent avoir des attributs, et dans ce cas là le virus change les attributs des fichiers en leur mettant l'attribut caché. Il ne faut ni formater ni réinstaller ni passer un logiciel de récupération de disque dur, ça sert à rien, il faut juste changer l'option qui permet de voir les fichiers cachés, puis aller sur le bureau et sur D: (par exemple) vous verrez alors toutes vos données. Il faut cliquer droit sur chaque fichier ou dossier et décocher l'attribut caché. Ainsi vous récupérez tout. 

J'espère vous avoir aidé, j'ai chopé ce maudit virus et j'ai mis un moment à trouver ce truc d'attribut... ha oui, il y aura un fichier en plus avec un logo Windows sur le bureau une fois l'option "afficher les fichiers cachés" cochée, il a un nom bizarre et c'est une .exe, il faut le supprimer, c'est lui la saloperie qui pourrit l'ordi. 

Voilà voilou. 

Laurent

Comment se debarrasser de tr/crypt.xpack.gen3

11 réponses

Discussions similaires