Help me please! infecte par TR/Crypt.XPACK.gen

ticia13 · Janvier 4, 2009, 5:42

Bojour,
je suis infectee depuis 2 jours par un cheval de troie nomme TR/Crypt.XPACK.gen et je ne comprends pas grand chose en informatique ! Je suis encore sous Windows XP.
Je pense acheter un nouveau portable d’ici peu mais souhaite recuperer mes fichiers personnels afin de les transferer sur le nouveau sans importer le cheve de troie en meme temps.
Pouvew-vous m’aider a l’eradiquer afin de recuperer sainement mes fichiers ?
Merci beaucoup d’avance pour votre aide.
Cdt
Ticia

cricri58 · Janvier 4, 2009, 6:06

Poste un log hijackthis

www.trendsecure.com…

pagesperso-orange.fr…

Telecharges malwarebyts
www.malwarebytes.org…

Fais une analyse COMPLETE en MODE sans ECHEC + SUPPRESSIONS des infections ____poste le rapport

tuto

forum.telecharger.01net.com…

guigui14100 · Janvier 4, 2009, 6:54

Salut

Il doit avoir Antivir je pense

Sinon fait ce que Cricri t’a demandé

ticia13 · Janvier 5, 2009, 7:41

Bonjour Cricri,

Je ne savais pas que vous 2tiew actif meme le dimanche ! En fait Avira puis Antivir ont detecte le cheval de troie, mais il semble aue Avira l’ai laisse entrer…

Voici le rapport Hijack this :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:20:49, on 04/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\SFR\Kit\WiFi\9wifi.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\CNet\802.11 Wireless LAN\CNETWlanMonitor.exe
C:\Program Files\Olympus\DeviceDetector\DevDtct2.exe
C:\Program Files\Wireless LAN Utility\SiWake.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Wireless LAN Utility\SiSCFG.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrator\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.fr…
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM…\Run: [IMJPMIG8.1] “C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE” /Spoil /RemAdvDef /Migration32
O4 - HKLM…\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM…\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM…\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM…\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKLM…\Run: [TkBellExe] “C:\Program Files\Common Files\Real\Update_OB\realsched.exe” -osboot
O4 - HKLM…\Run: [iTunesHelper] “C:\Program Files\iTunes\iTunesHelper.exe”
O4 - HKLM…\Run: [Autoconfigurateur WiFi SFR] “C:\Program Files\SFR\Kit\WiFi\9wifi.exe”
O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe”
O4 - HKLM…\Run: [avgnt] “C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe” /min
O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU…\Run: [Skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized
O4 - HKCU…\Run: [kava] C:\WINDOWS\system32\kavo.exe
O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘LOCAL SERVICE’)
O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘NETWORK SERVICE’)
O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)
O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)
O4 - Global Startup: CNet Wireless Utility.lnk = ?
O4 - Global Startup: Device Detector 3.lnk = C:\Program Files\Olympus\DeviceDetector\DevDtct2.exe
O4 - Global Startup: SiWake.lnk = C:\Program Files\Wireless LAN Utility\SiWake.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE…
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip…{361FA947-E36A-485A-A636-F10C0F221447}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip…{361FA947-E36A-485A-A636-F10C0F221447}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip…{361FA947-E36A-485A-A636-F10C0F221447}: NameServer = 192.168.1.1
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe (file missing)
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

–
End of file - 5118 bytes

alain77310_1_1 · Janvier 5, 2009, 8:15

a fixer

O4 - HKCU…\Run: [kava] C:\WINDOWS\system32\kavo.exe

et tu continu la procédure de cricri58

ticia13 · Janvier 5, 2009, 8:25

le scan avec Malware dure tres longtemps - plus de vingt minutes - alors je reviens ce soir pour le refaire et poster le rapport.
Merci et a bientot !
Ticia

Bonjour Alain,

Merc pour ton message, mais je ne comprends pas ce que tu me demandes…

J ai fait une recherche sur C/ avec Kavo et ai trouve kavo.dll, mais impossible de le supprimer directement. De plus je n ai plus acces aux disques C et D.... Bonne journee et a ce soir.... Et merci encore ! Ticia

Oups c'est kavo0.dll dans C/System32 Merci

alain77310_1_1 · Janvier 5, 2009, 9:14

j’aime pas trop mélanger les procédurs

fixs déjas la lignd citée
termine la procédure de cricri
et en suite

utilise pour supprimer tes traces

CCLEANER: (lance un nettoyage et répare 3 fois le registre) sans installer la barre yahoo

www.01net.com…

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
downloads.andymanchesta.com…
Double clique sur SDFix.exe et choisis Install pour l’extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
Redémarre ton ordinateur
Après avoir entendu l’ordinateur biper lors du démarrage, mais avant que l’icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur “Entrée”.
Choisis ton compte.
Déroule la liste des instructions ci-dessous :
Ouvre le dossier SDFix qui vient d’être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d’appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu’à l’accoutumée car l’outil va continuer à s’exécuter et supprimer des fichiers.
Après le chargement du Bureau, l’outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l’exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s’ouvrira à l’écran et s’enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

ticia13 · Janvier 5, 2009, 10:38

Bonjour Cricri,

Est-ce qu’avast est valable ? Apres consultation d’un ami j’ai change Antivir et mis Avast a la place.
Ticia

ticia13 · Janvier 6, 2009, 12:50

Cricri,

Voici le rapport de Malwarebytes. Il semblerait que Avast ait supprime le trojean.

Malwarebytes’ Anti-Malware 1.32
Version de la base de données: 1617
Windows 5.1.2600 Service Pack 2

06/01/2009 00:48:12
mbam-log-2009-01-06 (00-47-57).txt

Type de recherche: Examen complet (C:|D:|)
Eléments examinés: 95996
Temps écoulé: 2 hour(s), 45 minute(s), 50 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)