AIDE : Virus tr/crypt.zpack.gen8Résolu/Fermé

Question

Bonjour,  

J'ai reçu une alerte d'AVRIRA provenant du virus tr/crypt.zpack.gen8. Je l'ai mi en quarantaine. 
Hélas quelques minutes plus tard des fenêtres "The physical resources of this disk have been exhausted. The device is unreachable" et "Exception Processing Message" s'ouvrent et poluent le bureau. 
le fichier svshost.exe ainsi que explorer.exe sont "corrupt disk". 
Quand je reboot le system, je n'ai plus aucuns fichiers qui apparaissent. 
La restauration du system est impossible. 
Je souhaite avoir de l'aide pour remettre ma machine. 

Configuration: Windows 7 / Internet Explorer 9.0

g3n-h@ckm@n · Answer

salut mais le pc est utilisable ou pas ?

Fab · Answer

Oui, le pc est utilisable (ou presque). J'ai aussi coché la case visualiser tous les fichiers cachés dans l'explorateur de windows pour faire réapparaitre les programmes.

g3n-h@ckm@n · Answer

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau :

http://www.archive-host.com (renommé winlogon)

ou

http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :

http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

Fab · Answer

Merci pour vos explication. Voici donc le scan de mon ordinateur :   
http://www.cjoint.com/?3BoukoY0zB3

g3n-h@ckm@n · Answer

relance l'outil , clique sur Post Reboot et reheberge le rapport

Fab · Answer

D'accord. Voici le rapport trouvé sur c:\
http://cjoint.com/?3BtjHDb0PsA

g3n-h@ckm@n · Answer

Avira + AVG ? tu veux planter ta machine ? 

faut que t'en desinstalles un des deux à toi de choisir  

en plus tu fais n importe quoi 

t'as rien desactivé comme indiqué !
  
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤

Fab · Answer

D'accord, jai recommencé avec les conseils que vous m'avez donné.
Avira a été désinstallé et AVG désactivé pendant le scan.
http://cjoint.com/?3BtuNwA1g5t

g3n-h@ckm@n · Answer

ok c'est mieux 

relance l outil clique sur diag et heberge le rapport pre_diag  et donne le lien
  
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤

Fab · Answer

Voici le rapport pre_diag :
http://cjoint.com/?3BunRXEt71e

g3n-h@ckm@n · Answer

re

Télécharge et enregistre ADWCleaner sur ton bureau :

Lance le,(Pour vista/7/8 => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste C:\Adwcleaner[Sx].txt

===============

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

Fab · Answer

ADWCleaner exécuté. Voici deux rapports troucé sur c:\
http://cjoint.com/?3Buv0N5f0qK
http://cjoint.com/?3Buv2o61ns1

g3n-h@ckm@n · Answer

bien

 la suite ?

Fab · Answer

Et voila le dernier rappport en date de Malwarebytes :
http://cjoint.com/?3Bux3MbIAAC

g3n-h@ckm@n · Answer

refais un diag avec pre_scan

Fab · Answer

Voici le fichier rapport diag :
http://cjoint.com/?3BvatHdRaja

g3n-h@ckm@n · Answer

desinstalle adobe reader 9

==

selectionne ce texte puis CTRL + C

Kill::

Key::
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[iTunesHelper]
[HKLM\SOFTWARE\wow6432Node\Microsoft\Windows\CurrentVersion\Run]|[iTunesHelper]
[HKU\S-1-5-21-1341170160-3325067745-3353397869-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[FluWPtAeMVcHYmD.exe]
[HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE] 
[HKCR\Installer\Products\4EA42A62D9304AC4784BF268140661FF]

File|Fold::
C:\Windows\Xø¼ 
C:\Users\FABRICE	mp1.16 
C:\Users\FABRICE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Repair 
C:\ProgramData\FluWPtAeMVcHYmD 
C:\Windows\System32\Tasks\CreateChoiceProcessTask         
C:\Windows\System32\Tasks\{51D7FF60-FF38-4F8D-970E-D535E44B3305}         

Driver::
MFEAVFK
MFEHIDK
MFEHIDK01
MFESMFK

Clean::

MBR::

Reboot::       
 
 Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

Fab · Answer

J'ai effectué vos instructions. Voici le fichier Pre_Script.txt :
http://cjoint.com/?3Bvjsfs8GVf

g3n-h@ckm@n · Answer

bien as-tu toujours le souci du depart ?

Fab · Answer

Windows se charge normalement, je n'ai plus de fenêtres qui s'ouvrent.
Mais le Catalys Contrôle Hot de fonctionne plus, j'ai toujours les fichiers qui sont cachés et je n'ai plus de corbeille.

g3n-h@ckm@n · Answer

desinstalle  catalyst control center

===

relance pre_scan , clique sur "Reattrib" puis poste C:\Pre_Unhide.txt dans ta reponse

Fab · Answer

J'ai désinstallé catalyst control center et lancé "Reattrib" dans pre_scan.
Par contre il n'y a pas le fichier du rapport Pre_Unhide.txt dans c:\

Fab · Answer

J'ai réessayé en mode sans échec, mais le fichier n'était toujours pas dans c:\
Je relancé "Reatrib" en mode normale et j'ai collé le rapport ci-joint :

¤¤¤¤¤¤¤¤¤¤ | Hidden files

~ [Windows] : Hidden : 3 | Restored : 3
~ [AppData] : Hidden : 2 | Restored : 2

g3n-h@ckm@n · Answer

ok quel est le changement avec tes soucis du debut ?

Fab · Answer

Je n'ai plus aucun des symptômes que j'ai décrit au début. L'ordinateur est redevenu stable et j'ai récupéré la quasi totalité des fichiers cachés.

g3n-h@ckm@n · Answer

ok fais ce grand ménage :

https://gen-hackman.kanak.fr/

Fab · Answer

Merci beaucoup pour votre aide. Vous avez été d'un grand secours.
Je vais poursuivre vos indications pour faire le grand ménage.

g3n-h@ckm@n · Answer

:)

AIDE : Virus tr/crypt.zpack.gen8

28 réponses

Newsletters