AIDE : Virus tr/crypt.zpack.gen8 [Résolu/Fermé]

Signaler
-
Messages postés
13225
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
23 janvier 2021
-
Bonjour,

J'ai reçu une alerte d'AVRIRA provenant du virus tr/crypt.zpack.gen8. Je l'ai mi en quarantaine.
Hélas quelques minutes plus tard des fenêtres "The physical resources of this disk have been exhausted. The device is unreachable" et "Exception Processing Message" s'ouvrent et poluent le bureau.
le fichier svshost.exe ainsi que explorer.exe sont "corrupt disk".
Quand je reboot le system, je n'ai plus aucuns fichiers qui apparaissent.
La restauration du system est impossible.
Je souhaite avoir de l'aide pour remettre ma machine.

28 réponses

Messages postés
13225
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
23 janvier 2021
927
salut mais le pc est utilisable ou pas ?
Oui, le pc est utilisable (ou presque). J'ai aussi coché la case visualiser tous les fichiers cachés dans l'explorateur de windows pour faire réapparaitre les programmes.
Messages postés
13225
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
23 janvier 2021
927
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau :

http://www.archive-host.com (renommé winlogon)

ou

http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :

http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider


Merci pour vos explication. Voici donc le scan de mon ordinateur :
http://www.cjoint.com/?3BoukoY0zB3
Messages postés
13225
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
23 janvier 2021
927
relance l'outil , clique sur Post Reboot et reheberge le rapport
D'accord. Voici le rapport trouvé sur c:\
http://cjoint.com/?3BtjHDb0PsA
Messages postés
13225
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
23 janvier 2021
927
Avira + AVG ? tu veux planter ta machine ?

faut que t'en desinstalles un des deux à toi de choisir

en plus tu fais n importe quoi

t'as rien desactivé comme indiqué !

¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
D'accord, jai recommencé avec les conseils que vous m'avez donné.
Avira a été désinstallé et AVG désactivé pendant le scan.
http://cjoint.com/?3BtuNwA1g5t
Messages postés
13225
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
23 janvier 2021
927
ok c'est mieux

relance l outil clique sur diag et heberge le rapport pre_diag et donne le lien

¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Voici le rapport pre_diag :
http://cjoint.com/?3BunRXEt71e
Messages postés
13225
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
23 janvier 2021
927
re

Télécharge et enregistre ADWCleaner sur ton bureau :

Lance le,(Pour vista/7/8 => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste C:\Adwcleaner[Sx].txt

===============

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


▶ Télécharge ici :

Malwarebytes

▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

▶ Lance Malwarebyte's .

Fais un examen dit "Complet" .

▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)


ADWCleaner exécuté. Voici deux rapports troucé sur c:\
http://cjoint.com/?3Buv0N5f0qK
http://cjoint.com/?3Buv2o61ns1
Messages postés
13225
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
23 janvier 2021
927
bien

la suite ?
Et voila le dernier rappport en date de Malwarebytes :
http://cjoint.com/?3Bux3MbIAAC
Messages postés
13225
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
23 janvier 2021
927
refais un diag avec pre_scan
Voici le fichier rapport diag :
http://cjoint.com/?3BvatHdRaja
Messages postés
13225
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
23 janvier 2021
927
desinstalle adobe reader 9

==

selectionne ce texte puis CTRL + C

Kill::

Key::
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[iTunesHelper]
[HKLM\SOFTWARE\wow6432Node\Microsoft\Windows\CurrentVersion\Run]|[iTunesHelper]
[HKU\S-1-5-21-1341170160-3325067745-3353397869-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[FluWPtAeMVcHYmD.exe]
[HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE]
[HKCR\Installer\Products\4EA42A62D9304AC4784BF268140661FF]

File|Fold::
C:\Windows\Xø¼
C:\Users\FABRICE\tmp1.16
C:\Users\FABRICE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Repair
C:\ProgramData\FluWPtAeMVcHYmD
C:\Windows\System32\Tasks\CreateChoiceProcessTask
C:\Windows\System32\Tasks\{51D7FF60-FF38-4F8D-970E-D535E44B3305}

Driver::
MFEAVFK
MFEHIDK
MFEHIDK01
MFESMFK

Clean::

MBR::

Reboot::


Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
J'ai effectué vos instructions. Voici le fichier Pre_Script.txt :
http://cjoint.com/?3Bvjsfs8GVf
Messages postés
13225
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
23 janvier 2021
927
bien as-tu toujours le souci du depart ?
Windows se charge normalement, je n'ai plus de fenêtres qui s'ouvrent.
Mais le Catalys Contrôle Hot de fonctionne plus, j'ai toujours les fichiers qui sont cachés et je n'ai plus de corbeille.