TR/Crypt.XPACK.Gen [Résolu]

Bonjour,

Vous devriez poster votre demande dans la section Virus/sécurité (Il y a des spécialistes la bas) ^^

bonjours commence par faire ceci :

télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en gras ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

C:\WINDOWS\system32\getybcsg.dll

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

up up

Désole de l'avoir poster au mauvais endroit mais merci de m'avoir si vite répondu.

Voici le log de OTMoveIt

DllUnregisterServer procedure not found in C:\WINDOWS\system32\getybcsg.dll
C:\WINDOWS\system32\getybcsg.dll NOT unregistered.
C:\WINDOWS\system32\getybcsg.dll moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.4.2 log created on 05212008_112030

ok refais un scan hijackthis et poste le nouveau rapport stp

Voilà :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:24:08, on 21/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Winamp\Winamp.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Documents and Settings\MqKs_-\Bureau\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BMb767ee4e] Rundll32.exe "C:\WINDOWS\system32\getybcsg.dll",s
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Hardware Monitoring Program (ADMService) - OSA Technologies Inc - C:\Program Files\Acer\eManager\admServ.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

Fais un scan avec cet antispyware :

Telecharge malwarebytes + tutoriel :

-> http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php

Tu l´instale; le programme va se mettre automatiquement a jour.

Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".

Click maintenant sur l´onglet recherche et coche la case : "executer un examun complet".

Puis click sur "rechercher".

Laisse le scanner le pc...

Si des elements on ete trouvés > click sur supprimer la selection.

si il t´es demandé de redemarrer > click sur "yes".

A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.

Copie et colle le rapport stp.

Ok je fais ça ...

en mode normal ça suffira

Je viens de reboot

Voilà le Log

Malwarebytes' Anti-Malware 1.12
Version de la base de données: 774

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 109757
Temps écoulé: 27 minute(s), 52 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 12
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 9

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\opnlKDWO.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\ljJCRihE.dll (Trojan.Vundo) -> Unloaded module successfully.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{33e9d9fb-b6d7-4cc8-8fe8-5ca580b45bea} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{33e9d9fb-b6d7-4cc8-8fe8-5ca580b45bea} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f9df827a-8fa7-48a3-b268-ca4db563ea40} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f9df827a-8fa7-48a3-b268-ca4db563ea40} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ljjcrihe (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\xpre (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{f9df827a-8fa7-48a3-b268-ca4db563ea40} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BMb767ee4e (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\opnlkdwo -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\opnlkdwo -> Delete on reboot.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\mmvtwvbv.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vbvwtvmm.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\opnlKDWO.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\OWDKlnpo.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\OWDKlnpo.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ljJCRihE.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\bkiyimgu.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Documents and Settings\MqKs_-\Local Settings\Temporary Internet Files\Content.IE5\XKX37LI3\kb456456[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\17PHolmes572.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

Le problème serait fixé?

patience ...


redémarre le c pou finir la désinfection
puis réouvre maleware byte
va dans l onglet quarantaine
supprime tout

puis fais ça :

Télécharge Clean:

-> http://www.malekal.com/download/clean.zip

-> Dézippe tout le contenu dans un dossier que tu auras cré au préalable (sur ton bureau par exemple). Double clic sur clean ou clean.cmd choisie l'option 1.

Un rapport va s'ouvrir, copie et colle le contenu sur le forum.

-> pour ceux ou celles qui auraient un doute sur comment deziper un fichier :

http://www.tutopat.com/viewtopic.php?t=933&sid=34215b238376bfb22ef9e8eca9995914

C:\WINDOWS\System32\OWDKlnpo.ini -->21/05/2008 12:17:56
C:\WINDOWS\System32\mcrh.tmp -->21/05/2008 12:10:16
C:\WINDOWS\System32\itpgynvv.exe -->20/05/2008 22:23:04
C:\WINDOWS\System32\clkcnt.txt -->20/05/2008 22:17:24
C:\WINDOWS\System32\FNTCACHE.DAT -->20/05/2008 22:03:48
C:\WINDOWS\System32\hejthhnu.exe -->20/05/2008 15:02:40
C:\WINDOWS\System32\uvknxsxw.dll -->20/05/2008 14:59:58
C:\WINDOWS\System32\xfrsbima.dll -->19/05/2008 15:03:40
C:\WINDOWS\System32\yfigqxlq.dll -->19/05/2008 14:59:48
C:\WINDOWS\System32\uoimhyha.dll -->19/05/2008 11:53:56
C:\WINDOWS\System32\vpogsnfy.dll -->17/05/2008 10:42:28
C:\WINDOWS\System32\vtpjobos.ini -->15/05/2008 0:22:54
C:\WINDOWS\System32\tpysisgk.ini -->15/05/2008 0:21:52
C:\WINDOWS\System32\wpa.dbl -->12/05/2008 21:05:50
C:\WINDOWS\System32\CmdLineExt.dll -->4/05/2008 22:16:02
C:\WINDOWS\System32\lhacm.acm -->10/04/2008 20:42:50
C:\WINDOWS\System32\amcompat.tlb -->10/04/2008 1:34:30
C:\WINDOWS\System32\nscompat.tlb -->10/04/2008 1:34:30
C:\WINDOWS\System32\satsukidecodersettings.ini -->8/04/2008 3:37:24
C:\WINDOWS\System32\PerfStringBackup.INI -->8/04/2008 3:23:54
C:\WINDOWS\System32\perfh00C.dat -->8/04/2008 3:23:54
C:\WINDOWS\System32\perfc00C.dat -->8/04/2008 3:23:54
C:\WINDOWS\System32\perfh009.dat -->8/04/2008 3:23:54
C:\WINDOWS\System32\perfc009.dat -->8/04/2008 3:23:54
C:\WINDOWS\System32\TZLog.log -->8/04/2008 3:03:44

C:\WINDOWS\WindowsUpdate.log -->21/05/2008 12:24:34
C:\WINDOWS\KB950749.log -->21/05/2008 12:24:22
C:\WINDOWS\0.log -->21/05/2008 12:19:26
C:\WINDOWS\bootstat.dat -->21/05/2008 12:18:52
C:\WINDOWS\SchedLgU.Txt -->21/05/2008 12:18:12
C:\WINDOWS\BMb767ee4e.xml -->21/05/2008 12:10:00
C:\WINDOWS\BMb767ee4e.txt -->21/05/2008 12:09:50
C:\WINDOWS\pskt.ini -->21/05/2008 10:50:18
C:\WINDOWS\ntbtlog.txt -->21/05/2008 0:49:30
C:\WINDOWS\win.ini -->20/05/2008 22:49:04
C:\WINDOWS\system.ini -->20/05/2008 22:49:04
C:\WINDOWS\setupapi.log.0.old -->20/05/2008 22:48:44
C:\WINDOWS\cookies.ini -->20/05/2008 22:26:26
C:\WINDOWS\wininit.ini -->20/05/2008 20:57:02
C:\WINDOWS\wiadebug.log -->16/05/2008 2:16:56

réouvre clean et passe l option 2

et envoi moi le rapport stp

Il me recommande de le faire en mode sans echec tampis?

fais le en mode sans echec oui

Je trouve où le rapport après avoir effectué l'option 2? Je dois refaire l'option 1 pour avoir le rapport?

Si oui voici le nouveau rapport, j'ai relancé Clean (opération 1)

C:\WINDOWS\System32\OWDKlnpo.ini -->21/05/2008 12:17:56
C:\WINDOWS\System32\itpgynvv.exe -->20/05/2008 22:23:04
C:\WINDOWS\System32\clkcnt.txt -->20/05/2008 22:17:24
C:\WINDOWS\System32\FNTCACHE.DAT -->20/05/2008 22:03:48
C:\WINDOWS\System32\hejthhnu.exe -->20/05/2008 15:02:40
C:\WINDOWS\System32\uvknxsxw.dll -->20/05/2008 14:59:58
C:\WINDOWS\System32\xfrsbima.dll -->19/05/2008 15:03:40
C:\WINDOWS\System32\yfigqxlq.dll -->19/05/2008 14:59:48
C:\WINDOWS\System32\uoimhyha.dll -->19/05/2008 11:53:56
C:\WINDOWS\System32\vpogsnfy.dll -->17/05/2008 10:42:28
C:\WINDOWS\System32\vtpjobos.ini -->15/05/2008 0:22:54
C:\WINDOWS\System32\tpysisgk.ini -->15/05/2008 0:21:52
C:\WINDOWS\System32\wpa.dbl -->12/05/2008 21:05:50
C:\WINDOWS\System32\MRT.exe -->9/05/2008 23:35:04
C:\WINDOWS\System32\CmdLineExt.dll -->4/05/2008 22:16:02
C:\WINDOWS\System32\lhacm.acm -->10/04/2008 20:42:50
C:\WINDOWS\System32\amcompat.tlb -->10/04/2008 1:34:30
C:\WINDOWS\System32\nscompat.tlb -->10/04/2008 1:34:30
C:\WINDOWS\System32\satsukidecodersettings.ini -->8/04/2008 3:37:24
C:\WINDOWS\System32\PerfStringBackup.INI -->8/04/2008 3:23:54
C:\WINDOWS\System32\perfh00C.dat -->8/04/2008 3:23:54
C:\WINDOWS\System32\perfc00C.dat -->8/04/2008 3:23:54
C:\WINDOWS\System32\perfh009.dat -->8/04/2008 3:23:54
C:\WINDOWS\System32\perfc009.dat -->8/04/2008 3:23:54
C:\WINDOWS\System32\TZLog.log -->8/04/2008 3:03:44

C:\WINDOWS\0.log -->21/05/2008 12:57:52
C:\WINDOWS\bootstat.dat -->21/05/2008 12:57:14
C:\WINDOWS\WindowsUpdate.log -->21/05/2008 12:56:34
C:\WINDOWS\ntbtlog.txt -->21/05/2008 12:56:06
C:\WINDOWS\setupact.log -->21/05/2008 12:55:12
C:\WINDOWS\SchedLgU.Txt -->21/05/2008 12:52:54
C:\WINDOWS\imsins.log -->21/05/2008 12:52:22
C:\WINDOWS\ocmsn.log -->21/05/2008 12:52:22
C:\WINDOWS\netfxocm.log -->21/05/2008 12:52:22
C:\WINDOWS\MedCtrOC.log -->21/05/2008 12:52:22
C:\WINDOWS\tabletoc.log -->21/05/2008 12:52:22
C:\WINDOWS\msgsocm.log -->21/05/2008 12:52:22
C:\WINDOWS\tsoc.log -->21/05/2008 12:52:22
C:\WINDOWS\ntdtcsetup.log -->21/05/2008 12:52:22
C:\WINDOWS\comsetup.log -->21/05/2008 12:52:22

oui refais option pour verif

et envoi le rapport stp

Volà c'est fait ;)

ok fais ceci ;

Télécharge combofix.exe (par sUBs) sur ton Bureau.

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

-> Tutoriel http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix