Infection par virus TR/Crypt.XPACK.Gen2 [Résolu/Fermé]

Signaler
-
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
-
Bonjour,


Mon antivirus Avira a detecté ce virus hier. J'ai donc lancé un antimalwayrebyte qui a decouvert des elements infecté et que j'ai supprimé.
J'ai passé un coup de CCleaner et de glary utilities aprés.

Le virus n'a pas l'air de revenir mais je ne sais tjs pas si je suis encore infecté ou pas.
De plus j'ai perdu tous mes fichiers du bureau et du menu demarrer et j'aimerai les recuperer ( je l'ai revoi qd j'affiche les elements masqué ).

J'aimerai dc votre aide pour determiner à l'aide d'un outil de diagnostique ou autre si le virus est supprimé et aussi recuperer mes fichiers comme avant svp.

Une restauration de systeme est-elle une bonne idée?

En vous remerciant d'avance

34 réponses

Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 263
Bonjour,

Peux-tu poster le dernier rapport de MBAM (MalwareByte's)

Smart
C'est le premier aprés l'apparition du virus:



04/04/2012 16:52:24
mbam-log-2012-04-04 (16-52-24).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 202588
Temps écoulé: 8 minute(s), 7 seconde(s)

Processus mémoire détecté(s): 2
C:\ProgramData\QULtyiwYAMF.exe (Backdoor.Agent.RCGen) -> 4288 -> Suppression au redémarrage.
C:\ProgramData\tfChVgyrEllM1W.exe (Backdoor.Agent.RCGen) -> 7932 -> Suppression au redémarrage.

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|QULtyiwYAMF.exe (Backdoor.Agent.RCGen) -> Données: C:\ProgramData\QULtyiwYAMF.exe -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 2
C:\ProgramData\QULtyiwYAMF.exe (Backdoor.Agent.RCGen) -> Suppression au redémarrage.
C:\ProgramData\tfChVgyrEllM1W.exe (Backdoor.Agent.RCGen) -> Suppression au redémarrage.

(fin)

LE Deuxieme un peu plus tard :

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 350278
Temps écoulé: 2 heure(s), 45 minute(s), 50 seconde(s)

Processus mémoire détecté(s): 2
C:\ProgramData\QULtyiwYAMF.exe (Backdoor.Agent.RCGen) -> 4288 -> Suppression au redémarrage.
C:\ProgramData\tfChVgyrEllM1W.exe (Backdoor.Agent.RCGen) -> 7932 -> Suppression au redémarrage.

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 2
C:\ProgramData\QULtyiwYAMF.exe (Backdoor.Agent.RCGen) -> Suppression au redémarrage.
C:\ProgramData\tfChVgyrEllM1W.exe (Backdoor.Agent.RCGen) -> Suppression au redémarrage.

(fin)

Puis un 3eme qui n'a rien detecté :

05/04/2012 17:53:51
mbam-log-2012-04-05 (17-53-51).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 203576
Temps écoulé: 7 minute(s), 27 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)


A noter que le premier et le dernier ont ete fait en examen rapide et le deuxieme en complet.

J'ai fais aussi un scan en ligne avec eset nod32 online et il n'a rien trouvé apparemment.

Mais c'est surtout pour recupere mes fichiers et icones qui m'inquietent aussi. Comment faire?

Merci
JE le fais maintenant? Tu auras le temps de me repondre aprés?
Stp dis moi vers quelle heure tu seras disponible ce vendredi pour qu'on puisse faire les differentes manips.
Merci
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 263
Je serai présent demain ne t'inquiète pas.
Tu peux même le faire maintenant

Smart
Bonsoir smart, je lance roguekiller et je reviens vers toi.
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 263
OK :-)

N'oublie pas que tu as deux rapports à poster

Smart
Voici le 1er rapport aprés le scan et la suppression :

http://cjoint.com/?3DguO68B4T9



Puis le 2eme aprés racc.RAZ :

http://cjoint.com/?3DguSj7tRDd
J'ai recupere mes favoris d'internet ainsi que tous les dossiers et documents mais par contre je n'ai pas encore mes icones sur mon bureau. Dois je redemarrer l'ordi pour cela?

Et surtout il y a l'icone smart HDD qui est present sur la barre de lancement rapide et quand avira a detecté le virus c'est cette connerie qui est apparu et qui a foutu le bordel.

j'attend ton retour.
merci
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 263
Oui redémarre le PC et fais ceci:

Par précaution fais une sauvegarde de tous tes documents

Attention pour ceux qui parcourent ce sujet, cet outil n'est pas à utiliser à la légère, et doit être recommandé uniquement par une personne formée à cet outil

Imprime la procédure

Télécharge ComboFix de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Tutoriel pour bien utiliser l'outil ==> https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

- /!\ Déconnecte-toi du net et DESACTIVE TOUTES LES DEFENSES, antivirus et antispyware y compris /!\
- Double-clique sur ComboFix.exe
- Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
- Surtout si tu es sous XP, accepte d'installer la console de récupération

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.


Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt

Smart
Salut smart, avant de telecharger combofix et de continuer la procedure, peux tu m'expliquer "en gros" ( qu'est ce qui m'a infecté et qu'est ce qu'on doit supprimer par ex?)et si tu as le temps bien sur pourquoi tu utilises tel ou tel logiciel pour la desinfection.
Par exemple, aprés mes rapports roguekiller, quelles conclusions et diagnostique en as-tu tiré?
Et pourquoi on doit utiliser combofix pour la suite de la procedure (ce logiciel est apparemment trés puissant)?

Je te demande cela car je m'interresse à l'informatique et je pense que c'est tjs interressant de connaitre.
Mais si tu n'as pas le temps je me contenterai de suivre simplement la procedure.

merci d'avance.

AU fait j'ai recuperé tous mes fichiers et mes icones de bureau aprés roguekiller comme prévu.
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 263
Il n'est pas facile de t'expliquer pourquoi j'utilise tel ou tel outil. c'est l'expèrence et beucoup de recherche et communications avec d'autres Helpers sur les forums.

En fait tu as été infecté par un rogue un faux logiciel de sécurité qui te dis que ton PC est infecté.
Tu as dû attrpé cette infection surement en téléchargeant des cracks pour pour utiliser gratuitemment des logiciels payants.
pour ton info lis le dossier ci-dessus:
Les dangers des cracks

Comme tu as récupéré tous tes fichiers et tes icones, on va mettre de côté ComboFix pour le moment.

Refais un scan complet avec MBAM et poste le rapport. n'oublis pas de faire lma mise à jour de la base virale si MBAM ne le fait automatiquement au lancement

Smart
Je viens de lancer le scan complet de MBAM et je le posterai dés qu"il a fini.

Pour en revenir à l'infection, je n'ai pas de logiciel de telechargement et je ne telecharge pas de crack. Peut etre que cela vient de java car avant l'infection j'avais java 6 updade 29 et aprés nettoyage MBAM et roguekiller j'ai utilisé javara qui ma mis la mise à jour java 6 update 31, cela peut peut etre venir de là et de adobe dont j'ai fais la mise à jour aprés.

L'infection est arrivée alors que je consultais un site de foot qui est trés connu et que je regarde quotidiennement.
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 263
OK. J'attends le rapport.

Quel est le site de foot que tu consultais ?

Smart
voila le scan de MBAM qui n'a rien trouvé :

http://cjoint.com/?3DhwFMDsWRP

Par contre dés que j'ai enregsitré sur le bureau le rapport à t'envoyer ce message avira m'a detecté :
-dernier logiciel malveillant detecté TR/Dropper.Gen
- dans dernier fichier infecté C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe

c'est bizarre ca.

J'avais fais une manip en glissant le logiciel MBAM qui se trouvait dans demarrer/ Tous les programmes vers le bureau ( au lieu de creer un raccourci..), peut etre qu'il y a un rapport je ne sais pas. L'icone MBAM ne s'affiche pas comme d'habitude.

Sinon j'ai tjs smart HDD dans Demarrer/ tous les programmes et sur la barre de lancement rapide qui est la source des pb qd le rogue est arrivé.

J'attends ton retour pour continuer la procedure diamnche si tu es la.
merci
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 263
OK. On va faire un diagnostic du PC pour voir s'il y a des infections ou des restes.

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou depuis ce lien si le premier a des soucis:
http://www.moncompteur.com/compteurclick.php?idLink=18026

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
- Si tu possèdes Avast 6 ou 7 comme antivirus, à l'alerte choisis "lancer normalement"
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur la loupe en haut à gauche pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien :http://pjjoint.malekal.com/
- Clique sur Parcourir et cherche le répertoire C:\ZHP
- Sélectionne le fichier ZHPDiag.txt. puis clique sur "Ouvrir"
- Ensuite Clique sur "Envoyer le fichier".
- Copie le lien obtenu dans ta réponse.

Smart
je ne trouve aucun lien pour telecharger le logiciel sur les 2 adresses que tu m'as données.

Sur le 2e lien il me dis : " Valeur du parametre idLink incorrecte."

et sur le 1er je ne vois pas où cliquer pour le telecharger.
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 263
Sur le premier lien tu as deux possibilités de téléchargement:
1; - Técharger en visantant le forum Zébulon
2.- Télécharger simplment

Clique sur ce lien:
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Smart
voila le scan de ZHP :

http://cjoint.com/?3DiaJI8PQ2e
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 263
OK. Tout d'abord désinstalle Spybot, il est inutile et ne fait que ralentir ton PC ==>
https://www.commentcamarche.net/faq/7371-desinstaller-proprement-spybot-search-and-destroy-1-6

J'ai repéré smart HDD dans le rapport on va le supprimer dans un deuxième car il n'est plus actif.

On va d'abord s'occuper des barres d'outils inutiles et/ou infectées et de logiciels indérisables que tu as attrapés en téléchargeant gratuitement un tutoriel ou un logiciel sur le site PCtuto ou Tuto4PC ou alors EoRezo ou d'autres sites. Cette gratuité se fait en contrepartie de recevoir des pubilicités afin de se rémunérer. Eviter absolument d'aller sur ce site et surtout bien lire les Conditions Générales d'utilisation qui indiquent justement que tu acceptes de recevoir ces pubs en téléchargeant le logiciel.
Je te conseille de lire cet article concernant ces pratiques:
https://forum.malekal.com/viewtopic.php?t=33439&start=
Lis aussi ce dossier:
Les Toolbars ce n'est pas obligatoires

Tu vas faire ceci:
- Télécharge sur ton bureau AdwCleaner de Xplode
- Choisis "Suppression" et poste le rapport

Smart
Bonjour, j'ai donc desinstallé spybot à partir du menu ajout/suppression de programmes mais il me dit à la fin que certains fichiers ne peuvent etre supprimé que manuellement.
Je dois supprimer ces 2 dossiers à la main? :

C:\ProgramData\Spybot - Search & Destroy\
C:\Programmes\Spybot - Search & Destroy\

Spybot ne m'avait jamais rien trouvé avant dc je n'ai pas de fichier en quarantaine.

Voici le rapport ADW :

http://cjoint.com/?3DinS6hyoJj

C'est bizarre pcq je fais tjs attention de ne pas telecharger de toolbar qd j'installe un logiciel, je n'ai que google toolbar que j'utilise frequemment.
Sinon, pour un autre PC, pour supprimer Babylon je peux utiliser Adwcleaner?
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 263
Oui tu peux supprimer ces deux dossiers spybot
Sur l'autre PC tu peux utiliser Adwcleaner et ensuite MBAM

Refais un cscan ZHPDiag pour voi' s'il y a des restes et poste le rapport vi pjjoint

Smart
voici le scan :

http://cjoint.com/?3DiqQHewbyX
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 263
Il y avait encore des traces

- Ferme toutes tes applications en cours
- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> "en tant qu'administrateur")
- Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
- Copie/colle les lignes en gras suivantes :

----------------------------------------------------------
O2 - BHO: vShare Plugin - {043C5167-00BB-4324-AF7E-62013FAEDACF} . (...) -- C:\Program Files\vShare\vshare_toolbar.dll
O3 - Toolbar: vShare Plugin - {043C5167-00BB-4324-AF7E-62013FAEDACF} . (...) -- C:\Program Files\vShare\vshare_toolbar.dll
O18 - Handler: vsharechrome - {3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484} . (...) -- C:\Program Files\vShare\vshare_toolbar.dll
O42 - Logiciel: vShare Plugin - (.Pas de propriétaire.) [HKLM] -- vShare
[HKCU\Software\vShare]
O43 - CFD: 08/12/2010 - 21:40:29 - [1,124] ----D C:\Program Files\vShare
O69 - SBI: SearchScopes [HKCU] {043C5167-00BB-4324-AF7E-62013FAEDACF} - (Web Search...) - http://ww1.toolbarhome.com
[HKLM\Software\Classes\PROTOCOLS\Handler\vsharechrome]
[HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ViewpointMediaPlayer]
[HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\vShare]
[HKLM\Software\Classes\vShare.IMedixProtocol]
[HKLM\Software\Classes\vShare.IMedixProtocol.1]
[HKLM\Software\Classes\vShare.PugiObj]
[HKLM\Software\Classes\vShare.PugiObj.1]
[HKLM\Software\Classes\vShare.ScriptHelpers]
[HKLM\Software\Classes\vShare.ScriptHelpers.1]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{043C5167-00BB-4324-AF7E-62013FAEDACF}]
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{043C5167-00BB-4324-AF7E-62013FAEDACF}]
[HKLM\Software\Classes\CLSID\{043C5167-00BB-4324-AF7E-62013FAEDACF}]
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{043C5167-00BB-4324-AF7E-62013FAEDACF}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{043C5167-00BB-4324-AF7E-62013FAEDACF}]
[HKLM\Software\Classes\TypeLib\{3E315C81-442B-431C-AEC8-ED189699EC24}]
[HKLM\Software\Classes\CLSID\{3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484}]
[HKLM\Software\Classes\CLSID\{761f6a83-f007-49e4-8eac-cdb6808ef06f}]
[HKLM\Software\Classes\CLSID\{76c45b18-a29e-43ea-aaf8-af55c2e1ae17}]
[HKLM\Software\Classes\CLSID\{96ef404c-24c7-43d0-9096-4ccc8bb7ccac}]
[HKLM\Software\Classes\CLSID\{97720195-206a-42ae-8e65-260b9ba5589f}]
[HKLM\Software\Classes\CLSID\{97d69524-bb57-4185-9c7f-5f05593b771a}]
[HKLM\Software\Classes\CLSID\{986f7a5a-9676-47e1-8642-f41f8c3fcf82}]
[HKLM\Software\Classes\CLSID\{b18788a4-92bd-440e-a4d1-380c36531119}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\vShare]
C:\Program Files\vShare
C:\Users\youcef\AppData\LocalLow\vShare
O4 - Global Startup: C:\Users\youcef\Desktop\Ordinateur - Raccourci.lnk - Clé orpheline
O4 - Global Startup: C:\Users\youcef\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\SMART_HDD.lnk . (...) -- C:\ProgramData\tfChVgyrEllM1W.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{B62FBCA5-79F3-4BA8-AF6C-AA3F29076ACB}] (...) -- C:\Program Files\Internet Explorer\iexplore.exeed;alreadyoffered (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{ECFFFAC3-5AA1-4E62-9164-7BA41C71659B}] (...) -- C:\Program Files\Internet Explorer\iexplore.exelreadyoffered (.not file.)
O43 - CFD: 04/04/2012 - 16:46:33 - [0,001] ----D C:\Users\youcef\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SMART HDD
EmptyTemp
EmptyFlash
FirewallRAZ

----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse

Smart