Trojan - TR cryptulpm Gen 2...

panda1920 -  
 Utilisateur anonyme -
Bonjour,

je vous écris ici car j'ai un soucis de virus avec mon autre portable qui est sous windows 7.
j'ai donc choppé un trojan qui a été détecté par Avira et que je n'arrive pas à détruire malgré mes recherches sur le net...

j'ai fais un scan avec ZHPDiag puis avec Malwarebytes qui m'a détecté 3 infections, 2 sont parties mis une reste et c'est une clé de registre.
voilà ces infos:
HCKU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load
Value: Windows|Load
Trojan.Ransom
Catégorie: Registry Value

Ce virus est-il indestructible? comment procéder à son élimination svp?

Merci

49 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Un ordinateur sous Windows 7 est infecté par un cheval de Troie (Ransom.Gendarm) et une entrée de registre Load a été détectée, rendant l’infection difficile à supprimer malgré Malwarebytes et Avira.
Plusieurs interventions proposées incluent l’usage de RogueKiller en mode sans échec et l’analyse via ZHPDiag/ZHPFix, avec des éléments retrouvés dans le registre HKCU/HKLM et des charges non persistantes.
D’autres conseils évoquent des scans complémentaires et l’examen des clés et services, tout en consultant des rapports générés (RKreport/ZHPExport) pour confirmer les éléments supprimés et la persistance des composants malveillants.
En complément, certains échanges suggèrent de relancer RogueKiller et d’analyser des éléments supplémentaires, notamment des entrées de démarrage ou des fichiers temporaires, afin d’évaluer l’étendue de l’infection.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    bonjour,

    pas cool cette variante !

    * [*] Télécharger et enregistre RogueKiller sur le bureau
    https://www.luanagames.com/index.fr.html (by tigzy)

    [*] Quitter tous les programmes
    [*] Lancer RogueKiller.exe.
    [*] Attendre que le Prescan ait fini ...
    [*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du notepad

    Note : Si Roguekiller ne se lance pas, change son nom en Winlogon.

    0
  2. panda1920
     
    RogueKiller V7.6.2 [07/02/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur: Julien [Droits d'admin]
    Mode: Recherche -- Date: 07/08/2012 13:39:21

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 4 ¤¤¤
    [Rans.Gendarm] HKCU\[...]\Windows : Load (C:\Users\Julien\LOCALS~1\Temp\mszzzhb.bat) -> FOUND
    [Rans.Gendarm] HKUS\S-1-5-21-3812052408-3578799704-2577125689-1000[...]\Windows : Load (C:\Users\Julien\LOCALS~1\Temp\mszzzhb.bat) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : Rans.Gendarm ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: WDC WD5000BPVT-00KPFT0 ATA Device +++++
    --- User ---
    [MBR] 493ade5844180eac2790105b3c8c5919
    [BSP] 647a2985ba7441e26ac6d59a429296b3 : Windows Vista/7 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 463459 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 949573632 | Size: 13280 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[1].txt >>
    RKreport[1].txt

    sachant que le virus gendarmerie n'a pas l'air d'être parti non plus :-(
    0
  3. Utilisateur anonyme
     
    il est en mémoire !

    [Rans.Gendarm] HKCU\[...]\Windows : Load (C:\Users\Julien\LOCALS~1\Temp\mszzzhb.bat) -> FOUND
    [Rans.Gendarm] HKUS\S-1-5-21-3812052408-3578799704-2577125689-1000[...]\Windows : Load (C:\Users\Julien\LOCALS~1\Temp\mszzzhb.bat) -> FOUND


    relance Roguekiller,

    clique sur Supprimer,

    poste son rapport !

    0
  4. panda1920
     
    RogueKiller V7.6.2 [07/02/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur: Julien [Droits d'admin]
    Mode: Suppression -- Date: 07/08/2012 13:48:38

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 3 ¤¤¤
    [Rans.Gendarm] HKCU\[...]\Windows : Load (C:\Users\Julien\LOCALS~1\Temp\mszzzhb.bat) -> DELETED
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : Rans.Gendarm ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: WDC WD5000BPVT-00KPFT0 ATA Device +++++
    --- User ---
    [MBR] 493ade5844180eac2790105b3c8c5919
    [BSP] 647a2985ba7441e26ac6d59a429296b3 : Windows Vista/7 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 463459 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 949573632 | Size: 13280 Mo
    Error reading LL1 MBR!
    User = LL2 ... OK!

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    super,

    ? Télécharger et enregistre ADWcleaner sur ton bureau (Merci à Xplode) :

    http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner

    Lance le,

    clique sur rechercher et poste son rapport
    0
  7. panda1920
     
    # AdwCleaner v1.701 - Rapport créé le 08/07/2012 à 13:56:05
    # Mis à jour le 02/07/2012 par Xplode
    # Système d'exploitation : Windows 7 Home Premium (64 bits)
    # Nom d'utilisateur : Julien - JULIEN-PC
    # Exécuté depuis : C:\Users\Julien\Desktop\adwcleaner.exe
    # Option [Recherche]

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    ***** [Registre] *****

    ***** [Registre - GUID] *****

    ***** [Navigateurs] *****

    -\\ Internet Explorer v9.0.8112.16421

    [OK] Le registre ne contient aucune entrée illégitime.

    -\\ Mozilla Firefox v13.0.1 (fr)

    Nom du profil : default
    Fichier : C:\Users\Julien\AppData\Roaming\Mozilla\Firefox\Profiles\g1ywjf99.default\prefs.js

    [OK] Le fichier ne contient aucune entrée illégitime.

    *************************

    AdwCleaner[S1].txt - [289 octets] - [05/07/2012 23:53:45]
    AdwCleaner[R1].txt - [5885 octets] - [05/07/2012 23:56:06]
    AdwCleaner[S2].txt - [4741 octets] - [05/07/2012 23:59:49]
    AdwCleaner[R2].txt - [970 octets] - [08/07/2012 13:56:08]

    ########## EOF - C:\AdwCleaner[R2].txt - [1097 octets] ##########
    0
  8. Utilisateur anonyme
     
    AdwCleaner[S1].txt - [289 octets] - [05/07/2012 23:53:45]

    pas drôle, tu m'as enlevé la surprise :P

    tu l'as utilisé hier soir ;-)

    relance ADWC, clique sur Désinstaller,

    * /!\Avertissement :
    Ce logiciel n'est à utiliser que prescrit par un helper qualifié.
    Ne pas utiliser en dehors de ce cas de figure : dangereux!


    ► Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    ou ici :
    https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm
    A lire
    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Avant d'utiliser ComboFix :

    ► ferme les fenêtres de tous les programmes en cours.

    ► Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
    Une fois fait, sur ton bureau double-clic sur Combofix.exe.

    /!\Utilisateur de Vista : Clique droit sur le logo de Combofix, « exécuter en tant qu'Administrateur »

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    - il se peut que Combofix ait besoin de se connecter à internet pour trouver les mises à jour, donc il faut l'autoriser.

    /!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.


    - En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\ComboFix\ComboFix.txt)
    ► Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
    ► Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    0
  9. panda1920
     
    je suis en mode sans échec et je ne sais pas comment fermer mes antivirus...
    0
  10. Utilisateur anonyme
     
    démarre en mode normal si tu peux !

    0
  11. panda1920
     
    il est resté bloque plus d'une heure sur l'analyse du fichier Temp\OptChrome.exe :-(
    0
  12. Utilisateur anonyme
     
    arrête le, puis démarre le pc en mode normal,

    essaie de passer Combofix pour voir ce qu'il dit !

    0
  13. panda1920
     
    bon en mode normal il reste bloqué sur l'étape 50...
    je retenterai demain...

    sinon j'ai une question, le rapport des tests ne fait apparaître que le virus gendarmerie, pas celui qui me gène si? ou alors tout ce problème vient du virus gendarmerie?
    0
  14. Utilisateur anonyme
     
    bonjour,
    laisse de côté combofix !

    relance zhpdiag,

    1/ Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

    2/ Clique sur l'Uac, il faut le réactiver à la fin du nettoyage.

    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Héberge le rapport ZHPDiag.txt sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :

    https://www.cjoint.com/ => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers*

    pour les rapports :

    le problème avec l'infection ransomware, pour certaines variantes, il y en a une quinzain, elles apportent sur le pc une variante de Zéroaccèss, non visible sur les rapports, à part Roguekiller, MBAM et Combofix !

    va savoir de quelel variante a tu été infecté, on ne prend pas de risque de laisser un pc infecté, on le nettoie en profondeur !

    0
  15. panda1920
     
    voilà c'est fait!

    http://cjoint.com/?BGkxl3jtJId
    0
  16. Utilisateur anonyme
     
    tu es toujours en mode sans echec !!!

    il faut redémarrer ton pc en mode normal !

    c'est le keygen qui a foutu le bordèle sur ton pc !!!

    C:\Users\Julien\Downloads\(Nero) - Keygen - Nero 7 Serial\(Nero) - Keygen - Nero 7 Serial.rar

    * Lance ZHPFix via le raccourci sur ton Bureau

    Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

    * * Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans Zhpfix :
    ---------------------------------------------------------

    O42 - Logiciel: Bejeweled 3 - (.Pas de propriétaire.) [HKLM] -- Steam App 78000
    [HKLM\Software\WOW6432Node\Classes\CLSID\{76c45b18-a29e-43ea-aaf8-af55c2e1ae17}]
    [HKLM\Software\WOW6432Node\Classes\CLSID\{7cd74aff-3433-4e34-92e2-d98dfdb30754}]
    [HKLM\Software\WOW6432Node\Classes\CLSID\{96ef404c-24c7-43d0-9096-4ccc8bb7ccac}]
    [HKLM\Software\WOW6432Node\Classes\CLSID\{97720195-206a-42ae-8e65-260b9ba5589f}]
    [HKLM\Software\WOW6432Node\Classes\CLSID\{97d69524-bb57-4185-9c7f-5f05593b771a}]
    [HKLM\Software\WOW6432Node\Classes\CLSID\{986f7a5a-9676-47e1-8642-f41f8c3fcf82}]
    [HKLM\Software\WOW6432Node\Classes\CLSID\{b18788a4-92bd-440e-a4d1-380c36531119}]
    [HKCU\Software\SteamPopCap]
    SS - | Demand 17/06/2011 237008 | (McComponentHostService) . (.McAfee, Inc..) - C:\Program Files (x86)\McAfee Security Scan\3.0.207\McCHSvc.exe
    O42 - Logiciel: McAfee Security Scan Plus - (.McAfee, Inc..) [HKLM] -- McAfee Security Scan
    Emptytemp
    EmptyCLSID
    Emptyflash


    ----------------------------------------------------------

    - Clique sur le bouton « GO » pour lancer le nettoyage,
    - Copie/colle la totalité du rapport dans ta prochaine réponse
    Tuto :

    http://www.premiumorange.com/zeb-help-process/zhpfix.html

    tu as déjà MBAM sur ton pc
    . Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
    . si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
    . Une fois la mise à jour terminé
    . rend-toi dans l'onglet, Recherche
    . Sélectionnes Exécuter un examen complet
    . Cliques sur Rechercher
    . Le scan démarre.
    . A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    . Cliques sur Ok pour poursuivre.
    . Si des malwares ont été détectés, cliques sur Afficher les résultats
    . Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

    . Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
    . rends toi dans l'onglet rapport/log
    . tu cliques dessus pour l'afficher une fois affiché
    . tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
    . tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
    . Tu cliques droit dans le cadre de la réponse et coller
    . À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!

    Si tu as besoin d'aide regarde ce tutoriel :
    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

    0
  17. panda1920
     
    voilà déjà le rapport de ZHPFix

    je redémarre pour finaliser la suppression et j'enclenche avec MBAM
    0
  18. panda1920
     
    Rapport de ZHPFix 1.2.06 par Nicolas Coolman, Update du 17/05/2012
    Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-12-07-2012-21-55-20.txt
    Run by Julien at 12/07/2012 21:55:09
    Windows 7 Home Premium Edition, 64-bit (Build 7600)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Web site : http://nicolascoolman.skyrock.com/

    ========== Logiciel(s) ==========
    ABSENT Software Key: Steam App 78000
    ABSENT Software Key: McAfee Security Scan

    ========== Clé(s) du Registre ==========
    SUPPRIME Key: HKLM\Software\WOW6432Node\Classes\CLSID\{76c45b18-a29e-43ea-aaf8-af55c2e1ae17}
    SUPPRIME Key: HKLM\Software\WOW6432Node\Classes\CLSID\{7cd74aff-3433-4e34-92e2-d98dfdb30754}
    SUPPRIME Key: HKLM\Software\WOW6432Node\Classes\CLSID\{96ef404c-24c7-43d0-9096-4ccc8bb7ccac}
    SUPPRIME Key: HKLM\Software\WOW6432Node\Classes\CLSID\{97720195-206a-42ae-8e65-260b9ba5589f}
    SUPPRIME Key: HKLM\Software\WOW6432Node\Classes\CLSID\{97d69524-bb57-4185-9c7f-5f05593b771a}
    SUPPRIME Key: HKLM\Software\WOW6432Node\Classes\CLSID\{986f7a5a-9676-47e1-8642-f41f8c3fcf82}
    SUPPRIME Key: HKLM\Software\WOW6432Node\Classes\CLSID\{b18788a4-92bd-440e-a4d1-380c36531119}
    SUPPRIME Key*: HKCU\Software\SteamPopCap
    SUPPRIME Key: Service: McComponentHostService

    ========== Dossier(s) ==========
    SUPPRIME Flash Cookies:

    ========== Fichier(s) ==========
    SUPPRIME Reboot c:\program files (x86)\mcafee security scan\3.0.207\mcchsvc.exe
    SUPPRIME Temporaires Windows:
    SUPPRIME Flash Cookies:

    ========== Récapitulatif ==========
    9 : Clé(s) du Registre
    1 : Dossier(s)
    3 : Fichier(s)
    2 : Logiciel(s)

    End of clean in 00mn 46s

    ========== Chemin de fichier rapport ==========
    C:\ZHP\ZHPFix[R1].txt - 05/07/2012 19:06:57 [7435]
    C:\ZHP\ZHPFix[R2].txt - 12/07/2012 21:55:09 [1697]
    0
  19. panda1920
     
    bon, j'essaye en vain de faire l'analyse avec MBAM car comme c'est long avec un pc qui rame en mode normal, je suis obligé de le laisser tourner de nuit ou pendant que je suis au boulot...

    le problème c'est que quand je reviens le pc a planté et redémarré à cause d'un blue screen....

    je peux le faire en mode sans échec ou ça ne servira à rien?
    0
  • 1
  • 2
  • 3