AIDE : Virus tr/crypt.zpack.gen8

Résolu
Fab -  
g3n-h@ckm@n Messages postés 14350 Statut Membre -
Bonjour,

J'ai reçu une alerte d'AVRIRA provenant du virus tr/crypt.zpack.gen8. Je l'ai mi en quarantaine.
Hélas quelques minutes plus tard des fenêtres "The physical resources of this disk have been exhausted. The device is unreachable" et "Exception Processing Message" s'ouvrent et poluent le bureau.
le fichier svshost.exe ainsi que explorer.exe sont "corrupt disk".
Quand je reboot le system, je n'ai plus aucuns fichiers qui apparaissent.
La restauration du system est impossible.
Je souhaite avoir de l'aide pour remettre ma machine.

28 réponses

  • 1
  • 2
  1. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    salut mais le pc est utilisable ou pas ?
    0
  2. Fab
     
    Oui, le pc est utilisable (ou presque). J'ai aussi coché la case visualiser tous les fichiers cachés dans l'explorateur de windows pour faire réapparaitre les programmes.
    0
  3. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

    Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

    telecharge et enregistre Pre_Scan sur ton bureau :

    http://www.archive-host.com (renommé winlogon)

    ou

    http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)

    si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

    si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :

    http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
    http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
    http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut que des fenêtres noires clignotent , laisse-le travailler.

    Laisse l'outil redemarrer ton pc.

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

    0
  4. Fab
     
    Merci pour vos explication. Voici donc le scan de mon ordinateur :
    http://www.cjoint.com/?3BoukoY0zB3
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    relance l'outil , clique sur Post Reboot et reheberge le rapport
    0
  7. Fab
     
    D'accord. Voici le rapport trouvé sur c:\
    http://cjoint.com/?3BtjHDb0PsA
    0
  8. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    Avira + AVG ? tu veux planter ta machine ?

    faut que t'en desinstalles un des deux à toi de choisir

    en plus tu fais n importe quoi

    t'as rien desactivé comme indiqué !

    ¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
    0
  9. Fab
     
    D'accord, jai recommencé avec les conseils que vous m'avez donné.
    Avira a été désinstallé et AVG désactivé pendant le scan.
    http://cjoint.com/?3BtuNwA1g5t
    0
  10. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    ok c'est mieux

    relance l outil clique sur diag et heberge le rapport pre_diag et donne le lien

    ¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
    0
  11. Fab
     
    Voici le rapport pre_diag :
    http://cjoint.com/?3BunRXEt71e
    0
  12. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    re

    Télécharge et enregistre ADWCleaner sur ton bureau :

    Lance le,(Pour vista/7/8 => clic droit "executer en tant qu'administrateur")

    clique sur suppression et poste C:\Adwcleaner[Sx].txt

    ===============

    fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    ▶ Télécharge ici :

    Malwarebytes

    ▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    relance malwarebytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    ▶ Lance Malwarebyte's .

    Fais un examen dit "Complet" .

    ▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    ▶ à la fin tu cliques sur "résultat" .
    Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

    0
  13. Fab
     
    ADWCleaner exécuté. Voici deux rapports troucé sur c:\
    http://cjoint.com/?3Buv0N5f0qK
    http://cjoint.com/?3Buv2o61ns1
    0
  14. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    bien

    la suite ?
    0
  15. Fab
     
    Et voila le dernier rappport en date de Malwarebytes :
    http://cjoint.com/?3Bux3MbIAAC
    0
  16. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    refais un diag avec pre_scan
    0
  17. Fab
     
    Voici le fichier rapport diag :
    http://cjoint.com/?3BvatHdRaja
    0
  18. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    desinstalle adobe reader 9

    ==

    selectionne ce texte puis CTRL + C

    Kill::

    Key::
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[iTunesHelper]
    [HKLM\SOFTWARE\wow6432Node\Microsoft\Windows\CurrentVersion\Run]|[iTunesHelper]
    [HKU\S-1-5-21-1341170160-3325067745-3353397869-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[FluWPtAeMVcHYmD.exe]
    [HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE]
    [HKCR\Installer\Products\4EA42A62D9304AC4784BF268140661FF]

    File|Fold::
    C:\Windows\Xø¼
    C:\Users\FABRICE\tmp1.16
    C:\Users\FABRICE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Repair
    C:\ProgramData\FluWPtAeMVcHYmD
    C:\Windows\System32\Tasks\CreateChoiceProcessTask
    C:\Windows\System32\Tasks\{51D7FF60-FF38-4F8D-970E-D535E44B3305}

    Driver::
    MFEAVFK
    MFEHIDK
    MFEHIDK01
    MFESMFK

    Clean::

    MBR::

    Reboot::


    Relance Pre_scan puis choisis l'option "Script"

    une page va s'ouvrir

    logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

    sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
    0
  19. Fab
     
    J'ai effectué vos instructions. Voici le fichier Pre_Script.txt :
    http://cjoint.com/?3Bvjsfs8GVf
    0
  20. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    bien as-tu toujours le souci du depart ?
    0
  21. Fab
     
    Windows se charge normalement, je n'ai plus de fenêtres qui s'ouvrent.
    Mais le Catalys Contrôle Hot de fonctionne plus, j'ai toujours les fichiers qui sont cachés et je n'ai plus de corbeille.
    0
  • 1
  • 2