Trojan System Check (TR/Crypt.XPACK.Gen) Résolu

Question

Bonjour, 

Depuis le 26/03/2012 à 00h26, mon PC est infecté par un trojan, il avait été identifié par mon antivirus Avira Antivir Personal (j'avais cliqué sur supprimer cependant l'antivirus n'a pas effectué sa suppression mais plutôt l'a exécuté).

J'étais en train de surfer via Firefox sur des sites normalement sans trop de danger (si possible j'irai vérifié l'historique pour savoir sur quel site exactement il a été téléchargé en temporaire).

Croyant que mon antivirus l'avait supprimé j'ai laissé tranquille le PC pendant pas mal de temps et dès que je suis revenu le navigateur Firefox avait disparu laissant place à plein de fenêtres d'erreurs / d'alertes windows en cascade et des icônes près de l'horloge.

Le bureau n'avait plus aucune icône sauf ceux du trojan.
J'ai donc lancé Hijackthis / Ccleaner / Malwarebytes Anti-Malware afin de bloquer / supprimer les processus / les clés de registres qui s'auto-exécutent au démarrage de Windows.
Après cela j'ai constaté que je n'avais plus rien dans mes disques dur et un menu démarrer vide.
J'ai lancé Google Chrome pour me renseigner sur ce trojan et j'ai rapidement trouvé un poste ressemblant à mon cas (https://forums.commentcamarche.net/forum/affich-24794194-systeme-check-probleme
J'ai donc suivi la réponse de g3n-h@ckm@n avec son programme Pre Scan.
Cela fait maintenant presque 3 semaines que le programme est lancé (étape : Recherche fichiers cachés), cependant mon PC a redémarré à cause des mises à jour automatique de Windows et au redémarrage le programme n'a pas repris son cours.

Donc j'aimerai savoir s'il est possible de reprendre là où il s'est arrêté et comment, j'ai un dossier Pre_Scan dans C:/ contenant plusieurs dossiers (Hide / LNKS / Quarantine / Save_Scan) et fichiers.
Est-ce que les contenus dans les dossiers LNKS et Quarantine vont être supprimés car il s'agit de mes raccourcis de bureau et de dossiers de programmes non dangereux ?

Merci d'avance pour l'aide que vous m'accorderez.

Configuration: Windows XP / Safari 535.19

Malekal_morte- · Accepted Answer

Ce sont des scans du 26/03.
Là maintenant plus rien n'est détecté ? :)


~~

Pour les raccourcis.


[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy) 
[*] Quitter tous les programmes 
[*] Lancer RogueKiller.exe. 
[*] Attendre que le Prescan ait fini ... 
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Relance RogueKiller et fais "Raccourcis RAZ" à droite.

et pendant qu'on y est :

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.  
Lance le, clique sur [Suppression] puis patiente le temps du scan.  
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.  

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Malekal_morte- · Answer

Salut, 

Antivir détecte encore des choses? 
Tu peux poster le rapport Antivir ? 

et Malwarebyte ?

Like the angel you are, you laugh creating a lightness in my chest, 
Your eyes they penetrate me, 
(Your answer's always 'maybe') 
That's when I got up and left

g3n-h@ckm@n · Answer

salut fais ce que demande malekal...

retelecharge pre_scan et laisse-le finir son travail....si c 'est windows update qui l'a interrompu....

Malekal_morte- · Answer

Y a pas besoin de relancer PreScan.
Poste le rapport de scan Antivir et eventuellement celui de Malwarebyte s'il détecte des choses.

g3n-h@ckm@n · Answer

ok c'est pour les fichiers cachés...
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

valioukha · Answer

Ah tien Malekal bonjour ;).  

Alors pour Antivir (aucun rapport (enfin sauf si les fichiers log se trouvent quelque part et à trouver) sinon juste 3 fois le même événement) j'ai ça :  

------------------------------  
Dans le fichier 'C:\Documents and Settings\Valioukha\Local Settings\Temp\lYLi6nIe24kzDh.exe'  
un virus ou un programme indésirable 'TR/Crypt.XPACK.Gen' [trojan] a été détecté.  
Action exécutée : Refuser l'accès  
------------------------------  

J'ai donc refait un scan dans le dossier temp et plus aucune trace du trojan.  


Rapport de malwarebytes :  
----------------------------------------  
Malwarebytes Anti-Malware 1.60.1.1000  
www.malwarebytes.org  

Version de la base de données: v2012.03.25.04  

Windows XP Service Pack 3 x86 NTFS  
Internet Explorer 8.0.6001.18702  
Valioukha :: VALIOK [administrateur]  

26/03/2012 01:10:52  
mbam-log-2012-03-26 (01-10-52).txt  

Type d'examen: Examen rapide  
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM  
Options d'examen désactivées: P2P  
Elément(s) analysé(s): 237355  
Temps écoulé: 23 minute(s), 51 seconde(s)  

Processus mémoire détecté(s): 0  
(Aucun élément nuisible détecté)  

Module(s) mémoire détecté(s): 0  
(Aucun élément nuisible détecté)  

Clé(s) du Registre détectée(s): 0  
(Aucun élément nuisible détecté)  

Valeur(s) du Registre détectée(s): 0  
(Aucun élément nuisible détecté)  

Elément(s) de données du Registre détecté(s): 9  
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowControlPanel (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès  
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès  
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès  
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès  
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowRun (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès  
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès  
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoDesktop (PUM.Hidden.Desktop) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès  
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès  
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès  

Dossier(s) détecté(s): 0  
(Aucun élément nuisible détecté)  

Fichier(s) détecté(s): 2  
C:\Documents and Settings\All Users\Application Data\bYXmuYDuwsvN.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.  
C:\Documents and Settings\Valioukha\Local Settings\Temp\vz15Q3OGBGJNUj.exe.tmp (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.  

(fin)  

----------------------------------------------  

Par contre Pre_Scan affiche un menu donc je ne sais pas trop quoi faire avec. 

Édition 12h50 : je veux bien faire une analyse complète avec Avira et Malwarebytes par contre cela risque de prendre du temps. 
Sinon actuellement tous les dossiers et fichiers de mon HDD J:/ sont transparents et inaccessibles.

00lina00 · Answer

Bonjour Gen,

Merci de laisser malekal aider cette personne : tu le sais, si tout le monde vient, le helper va être "désorienté".

Malekal_morte- · Answer

Les rapports sont OK. 

Par contre il y a surement quelques petits "bugs" à réparer. 

Comme ? 
Tu as quoi comme soucis?

Like the angel you are, you laugh creating a lightness in my chest, 
Your eyes they penetrate me, 
(Your answer's always 'maybe') 
That's when I got up and left

valioukha · Answer

Bah à chaque redémarrage une erreur du Centre de Controle de ma carte graphique Ati Radeon.
Je dirai juste une mise à jour du pilote pourrait réparer ce problème mais j'ai eu des pilotes récents sur plusieurs PCs qui fesait un écran bleu au bout d'un certain temps donc j'ai préféré garder d'anciens pilotes qui eux fonctionnent.
Pour l'instant RogueKiller fait son Raccourcis RAZ donc je n'ai toujours pas accès à mes dossiers du HDD J.
Pour l'instant je n'ai pas encore réutilisé les logiciels habituels donc je ne peux pas encore dire s'il y aura des problèmes d'où une probabilité de bugs à venir si ce que j'ai eu affectait ces derniers.

valioukha · Answer

Voilà le rapport Raccourcis RAZ de RogueKiller :

----------------------------------------------------------------------
RogueKiller V7.3.3 [22/04/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Valioukha [Droits d'admin]
Mode: Raccourcis RAZ -- Date: 23/04/2012 17:41:51

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Attributs de fichiers restaures: ¤¤¤
Bureau: Success 234 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 15 / Fail 0
Menu demarrer: Success 0 / Fail 0
Dossier utilisateur: Success 32850 / Fail 0
Mes documents: Success 139 / Fail 0
Mes favoris: Success 5782 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 706174 / Fail 2
Sauvegarde: [FOUND] Success 91 / Fail 0

Lecteurs:
[A:] \Device\Floppy0 -- 0x2 --> Skipped
[C:] \Device\HarddiskVolume1 -- 0x3 --> Restored
[D:] \Device\CdRom0 -- 0x5 --> Skipped
[E:] \Device\CdRom1 -- 0x5 --> Skipped
[F:] \Device\HarddiskVolume2 -- 0x3 --> Restored
[I:] \Device\HarddiskVolume3 -- 0x3 --> Restored
[J:] \Device\HarddiskVolume4 -- 0x3 --> Restored

¤¤¤ Infection : Rogue.FakeHDD ¤¤¤

Termine : << RKreport[4].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

-----------------------------------------------------------------------

Tous les dossiers et icônes sont de nouveau visibles cependant j'ai toujours Accès refusé avec les dossiers comme si personne ne pouvait y accéder en clair aucune autorisation.

valioukha · Answer

Bonjour, donc j'ai rajouté les droits sur les dossiers et tout est ré-accessible.

Sinon à propos de Pre_Scan, comment fait-on pour récupérer et remettre à leur place ce qui a été mis en quarantaine ?

Malekal_morte- · Answer

yep et aussi très important :


Important - ton infection est venue par un exploit sur site web :   

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.  
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.  
Exemple avec : Exploit Java  

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash : 
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite     
https://forum.malekal.com/viewtopic.php?t=15960&start=  

Passe le mot à tes amis !

Trojan System Check (TR/Crypt.XPACK.Gen)

12 réponses

Votre réponse

Discussions similaires

Newsletters