Virus TR/crypt.xpack.gen3Fermé

Question

Bonjour, 

J'ai eu le virus TR/crypt.xpack.gen3.
J'ai déjà suivi les conseils de vos forums et la ncer le scan ZHPDIAG.
Comment faire avec le résultat ? 

Merci beaucoup pour votre aide !

Configuration: Windows Vista / Internet Explorer 7.0

maxou45 · Answer

bonjour

Utilise ce logiciel de diagnostic :

* Télécharge  https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html (de Nicolas Coolman)
* Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau)
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur http://www.cijoint.fr  , puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

JM. M · Answer

Merci pour ton message maxou45.
Mais apparemment ça a l'air bon, j'ai simplement lancé le scan malwarebyte et supprimé les fichiers infectés.
Pour l'instant je n'ai plus d'alarme antivirus, et à première vue je n'ai pas trouvé de dégâts à part la barre quick launch.

maxou45 · Answer

tu fais comme tu veux, mais je dois te prevenir, mbam n'est pas suffisant pour te desinfecter completement.

JM. M · Answer

Merci de m'en avoir averti. J'ai lancé le diagnostic et enregistré le rapport 
http://www.cijoint.fr/cjlink.php?file=cj201106/cijN2T7fiQ.txt

Merci de me dire ce qu'il en est.

maxou45 · Answer

C'est bien ce que je pensais, tu as de nombreuses infections, et des barre d'outils infectieuses.
Nous allons nous occuper en premier des "toolbar" grace a AD-Remover.

Ad-Remover est un outil spécifique conçu par C_XX , son rôle est la suppression d'adwares comme Eorezo, MyWebSearch, Navipromo, Winsudate, Search Settings, installpédia, ask etc...  

Télécharger AD_Remover de C_XX sur http://www.teamxscript.org/adremoverTelechargement.html

Tu es sous XP , Double clic sur AD-R.exe sur le bureau 

L'installation se fait automatiquement . 

Accepte l'avertissement qui suit. 

Clic sur Scanne 

Patiente le temps de la recherche 

Poste le rapport qui apparait à la fin .(Il est sauvegardé aussi sous C:\Ad-report.log) 

Clic sur Quitter 

Ne lance pas le nettoyage tant que je ne te l'ai pas dit

JM. M · Answer

Voilà le rapport de Ad-Remover
http://www.cijoint.fr/cjlink.php?file=cj201106/cijdwIX4Ce.txt

maxou45 · Answer

Relance Ad-remover.exe, par un double-clique sur l'icône Ad-remover située sur ton Bureau.
Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

Sur la page, clique sur le bouton «Nettoyer»

Laisse travailler l'outil

A la fin du scan, il est possible que AD-Remover te demande de redémarrer ton PC, clique sur le bouton Oui. Si ton PC ne redémarre pas, fais le toi même.

Le rapport est situé C:\Ad-reportClean[X].Txt où X est un numéro.

Ouvre-le

Sélectionne le contenu

Puis copie le tout avec les touches clavier : ctrl+c

Poste ton résultat dans ta prochaine réponse en utilisant les touches clavier : ctrl+v (coller)

JM. M · Answer

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 18:16:01 le 14/06/2011, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium   (X86) 
administrateur@K-JM (System manufacturer P5K-E) 
 
============== ACTION(S) ==============


Dossier supprimé: C:\Users\administrateur\AppData\LocalLow\pdfforge
Dossier supprimé: C:\Program Files\pdfforge Toolbar
Dossier supprimé: C:\Users\administrateur\AppData\LocalLow\PriceGong
Dossier supprimé: C:\Users\administrateur\AppData\LocalLow\Search Settings

(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé supprimée: HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé supprimée: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\gpyjt
Clé supprimée: HKLM\Software\Freeze.com
Clé supprimée: HKLM\Software\pdfforge
Clé supprimée: HKLM\Software\Search Settings
Clé supprimée: HKCU\Software\Search Settings
Clé supprimée: HKCU\Software\AppDataLow\Software\pdfforge
Clé supprimée: HKCU\Software\AppDataLow\Software\PriceGong
Clé supprimée: HKLM\Software\Classes\Installer\Products\A6EB8FE4C9986914497E92C7F5A702E3
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\A6EB8FE4C9986914497E92C7F5A702E3
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{4EF8BE6A-899C-4196-94E7-297C5F7A203E}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{4EF8BE6A-899C-4196-94E7-297C5F7A203E}
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Search Settings

Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|SearchSettings
Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{B922D405-6D13-4A2B-AE89-08A030DA4402}


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [3.6.17 (fr)] ****


-- C:\Users\administrateur\AppData\Roaming\Mozilla\FireFox\Profiles\cg5uj8mz.default --
Prefs.js - browser.download.lastDir, E:\Images\Zip
Prefs.js - browser.startup.homepage, hxxp://www.google.fr/
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.17

========================================

**** Internet Explorer Version [7.0.6000.16982] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_URLSearchHooks|{08C06D61-F1F3-4799-86F8-BE1A89362C85} - "Search Class" (C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll)
HKCU_ElevationPolicy\{6C4E5227-FB64-416F-B543-57668BE6375A} - C:\Program Files\Orange\Launcher\Launcher.exe (France Telecom SA)
HKLM_ElevationPolicy\{F365CC6C-656A-4108-8CF0-16DF98696395} - C:\Program Files\Canon\ZoomBrowser EX\Program\ZoomBrowser.exe (?)
HKLM_Extensions\{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - "?" (?)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
BHO\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - "SSVHelper Class" (C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 45 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 14/06/2011 18:16:33 (4689 Octet(s)) 
C:\Ad-Report-SCAN[1].txt - 14/06/2011 15:10:16 (5045 Octet(s)) 

Fin à: 18:17:46, 14/06/2011 
 
============== E.O.F ==============

maxou45 · Answer

bien
Nous allons utiliser un outil plus generaliste pour confirmer  (MBAM)   

* Télécharge et installe https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/    
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée     
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)     
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"     
* A la fin de l'analyse, clique sur "Afficher les résultats"     
* Coche tous les éléments  détectés puis clique sur "Supprimer la sélection"     
* Enregistre le rapport     
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes     
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.     

https://www.androidworld.fr/ (Tutoriel pour t'aider).     

Fais redémarrer ton ordinateur normalement et poste le rapport dans ta prochaine réponse.      

REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.

JM M · Answer

Bonsoir,
Voici le résultat:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6848

Windows 6.0.6000
Internet Explorer 7.0.6000.16982

15/06/2011 21:34:11
mbam-log-2011-06-15 (21-34-11).txt

Type d'examen: Examen complet (C:\|D:\|E:\|M:\|S:\|V:\|)
Elément(s) analysé(s): 417024
Temps écoulé: 1 heure(s), 29 minute(s), 27 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

maxou45 · Answer

Bonsoir
peux tu refaire un zhpdiag stp

JM M · Answer

Voici le lien, et encore merci pour ton aide depuis quelques jours !!

http://www.cijoint.fr/cjlink.php?file=cj201106/cijLMi15LC.txt

maxou45 · Answer

nous allons utiliser USB Fix (créé par El Desaparecido & C_XX) 

* Télécharge http://www.teamxscript.org/usbfixTelechargement.htm
sur ton Bureau

 Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.

* Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir

* Lance USBFix (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur).

* Au menu principal, clique sur Recherche

* Laisse travailler l'outil

* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

 Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus

JM M · Answer

Cela sert à quoi ?
Le dernier rapport indique-t-il qu'il reste des choses infectées ?

maxou45 · Answer

Cela sert a te desinfecter... tu es plein d'infections
Si tu en as deja marre .... tu n'es pas au bout de tes peines...

________________________ 
Formation Qualification Helper

JM M · Answer

Avira ne détecte rien ?
Voici en tout cas le résultat...

http://www.cijoint.fr/cjlink.php?file=cj201106/cijLNt0hId.txt

maxou45 · Answer

cette ligne montre que tu etais encore infecté

################## | Éléments infectieux |


Présent! F:\AUTORUN.INF


---------------------------------------------------------

il reste aussi des traces de tes infections, nous allons utiliser ZHP FIX
Utilisation de  ZHPFIX 
* Copie le tout le texte présent ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 


sysrestore
[HKCU\Software\mc]  
O43 - CFD: 14/09/2009 - 20:39:58 - [0] ----D- C:\Program Files\Freeze.com  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D2A2595C-4FE4-4315-AA9B-19DBD6271B71}]  
[HKLM\Software\Classes\Installer\Features\a6eb8fe4c9986914497e92c7f5a702e3]  



* Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur) 

* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »).
 Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 

* Clique sur le bouton « GO » pour lancer le nettoyage


Il va t'etre demandé de redémarrer l'ordinateur, refuse sinon le script va  être interrompu

* Copie/colle la totalité du rapport dans ta prochaine réponse
( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )

JM M · Answer

Bonsoir maxou45,
Et voici le rapport...

Rapport de ZHPFix 1.12.3307 par Nicolas Coolman, Update du 10/06/2011
Fichier d'export Registre : C:\ZHPExportRegistry-17-06-2011-21-03-04.txt
Run by administrateur at 17/06/2011 21:03:04
Windows Vista Home Premium Edition, 32-bit  (Build 6000)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
SUPPRIME HKCU\Software\mc
SUPPRIME HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D2A2595C-4FE4-4315-AA9B-19DBD6271B71}
SUPPRIME HKLM\Software\Classes\Installer\Features\a6eb8fe4c9986914497e92c7f5a702e3

========== Dossier(s) ==========
SUPPRIME C:\Program Files\Freeze.com

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
3 : Clé(s) du Registre
1 : Dossier(s)
1 : Restauration Système


End of the scan

maxou45 · Answer

Super
un dernier rapport zhpdiag stp

JM M · Answer

Le voilà...

http://www.cijoint.fr/cjlink.php?file=cj201106/cijKMIwuHC.txt

Suspense ?

maxou45 · Answer

La désinfection est maintenant terminée, merci de l'avoir suivie jusqu'au bout 
Nous allons maintenant terminer la procédure avec la mise à jour de ton PC, la suppression des outils que nous avons utilisés, un peu d'optimisation et plusieurs liens utiles. 
Nous avons utilisé Malwarebytes' Anti-Malware, tu peux le garder et passer un scan complet une fois par semaine en prenant soin de bien le mettre à jour avant de lancer le scan. 


 Mise a jour de ton système
Il est important d'avoir les dernières mises à jour sur ton PC. En effet, celles ci corrigent des failles de sécurité qui peuvent parfois être exploitée par un programme malveillant

* Ta version de Vista n'est pas à jour
  va le verifier sur ce lien https://support.microsoft.com/en-us/windows/install-windows-vista-service-pack-2-sp2-468d1d75-4f9b-0855-6900-47d65cbdac1b


* Ta version de Adobe reader n'est pas à jour
telecharge  la derniere version ici https://get2.adobe.com/fr/reader/otherversions/


* Ta version de Java n'est pas à jour
  Clique sur ce lien :  https://www.java.com/fr/download/uninstalltool.jsp
  Clique sur le bouton rouge Vérifier la version de Java
  Patiente quelques instants durant la détection
  Un message indiquera qu'il existe une nouvelle version de Java et proposera le téléchargement
   Télécharge cette nouvelle version


Optimisation du PC avec CCLEANER
* Suppression des fichiers inutiles
  Télécharge https://www.clubic.com/telecharger-fiche14492-ccleaner.html
 Installe le, puis lance le. 
  Va dans l'onglet "Options" puis " Avancé "
  Décoche " Effacer uniquement les fichiers[...] ". 
  Cliques sur l'onglet  " Nettoyeur " 
  Cliques sur Analyser . 
  A la fin de l'analyse, clique sur Nettoyer
  Rends toi à l'onglet " Registre " puis cliques sur Chercher les erreurs]
  Cliques ensuite sur Corriger les erreurs séléctionnées. 
  Accepte la sauvegarde puis enregistre la dans tes documents ( tu pourras la supprimer si aucun problème n'apparaît après la suppression ) 
 Cliques ensuite sur Corriger toutes les erreurs sélectionnées puis sur Fermer
 Redémarre ton PC.


Supprimer les points de restauration antérieurs à la désinfection : OneClick2RestorePoint 
Télécharge http://www.multifa7.be/Laddy/OneClick2RP.exe de Laddy sur ton Bureau
Conserve-le tout au long de la désinfection et de l'optimisation.
Double clic dessus pour l'exécuter (Sous Vista/Seven, fais un clic droit et choisir Exécuter en tant qu'administrateur)
Entre la description suivante : apres desinfection
Clic sur le bouton Créer, puis sur le bouton OK.
Clic sur le bouton quitter pour fermer l'application

Purger les points de restauration système
Relance OneClick2RP
Clic sur le bouton "Purger",
l'outil de nettoyage de windows va s'ouvrir
Choisis ton disque dur principal en général (C:\) ... Patiente pendant le scan...
Rends toi dans l'onglet "Autres options"


Dans la zone restauration système, clic sur le bouton nettoyer 
puis sur le bouton Supprimer.
Les points de restauration système seront purgés sauf le dernier créé.


Suppression des outils utilisés pour la désinfection
lance  ZHPFix en double cliquant sur l'icone située sur ton bureau  
Important: Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
Dans la fenêtre de ZHPFix, cliquer sur le "A" rouge
Cliquer sur "Nettoyer"


Fermer toutes les fenêtres


Redémarrer le PC



Liens utiles 
 Ces liens sont en rapport direct avec la sécurité de ton PC: Prends le temps de les lire pour comprendre pourquoi tu as été infecté. 
https://forum.malekal.com/viewtopic.php?t=3208&start=
https://forum.malekal.com/viewtopic.php?t=15761&start= 
https://www.malekal.com/proteger-pc-virus-pirates/
https://forum.malekal.com/viewtopic.php?t=12405&start=
https://forum.malekal.com/viewtopic.php?t=6173&start=

JM M · Answer

Salut Maxou45,
J'ai mis un peu de temps mais j'ai fini.
Je voulais te remercier pour ton aide, et le suivi pendant toute l'opération.
Merci beaucoup.
Cordialement,
JM M

Virus TR/crypt.xpack.gen3

22 réponses

Discussions similaires

Newsletters