Votre question

[résolu] Infecté par Crypt.XPACK.Gen2 avec un document word

Tags :
  • Antivir
  • Sécurité
Dernière réponse : dans Sécurité et virus
5 Mars 2012 00:41:38

Bonjour,
J'ai ouvert un document word et je sais pas ce qui s'est passé, d'un seul coup tout à buguer... antivir m'a signalé que j'ai été infecté, mais il n'a pas réussis à arreter ou stopper l'infection, donc me voila avec un certain "Crypt.XPACK.Gen2" qui a mis un gros bordel dans mon pc. Il a mis l'ensemble des fichiers en cachés, j'ai plus accès a certains truc, mon bureau à presque disparus, meme si j'arrive encore à faire fonctionner la machine.
J'ai besoin d'un petit coup de main pour désinfecter sa !

Autres pages sur : resolu infecte crypt xpack gen2 document word

5 Mars 2012 16:07:49

Bonjour :) 

1

tu pourras me poster le rapport de détection antivir stp.
Tu ne repasses pas antivir une nouvelle fois, tu me passes juste le dernier rapport. (va voir dans événement et dans rapport ce que tu y trouves)



2

  • Télécharge RogueKiller sur lon bureau
    (A partir d'une clé USB si le Rogue empêche l'accès au net) .
    http://www.sur-la-toile.com/RogueKiller/
  • Quitte tous les programmes en cours
  • Lance RogueKiller.exe.
    Sous Vista/Seven, faire un clic droit et choisir Exécuter en tant qu'administrateur.
  • Choisis l'option supression et laisse tourner l'outil.

  • Poste le rapport RKreport.txt crée sur ton bureau.



    3


    Télécharge MalwareByte's Anti-Malware sur ton Bureau.

  • Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
    Une fois l'installation et la mise à jour effectuées :
  • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
  • Afin de lancer la recherche, clic sur"Rechercher".
  • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
    ~ Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
    ~~ Si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau.

  • Poste ce rapport.

    ~~REMARQUE: Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.



    ~~Aide :

  • Tutoriel MalwareByte's Anti-Malware

    +++++++++
    ++++++++
    ++++++++++++++++



    5 Mars 2012 21:40:26

    Voilou :)  merci pour la réponse

    Rapport RogueKiller :
    http://cjoint.com/?BCfvzPGOlsp

    Rapport malwarebytes :
    http://cjoint.com/?BCfvBgwJZ1j

    Rapport antivir :
    Sa commence vers "05/03/2012 00:06 [Guard] Malware found"
    http://cjoint.com/?BCfvBLgsJI0

    Je crois que j'ai été enfaite victime d'un "fake hdd", tout mon disque dur est passé en fichiers cachés, mon bureau a perdus les 3/4 des elements, et à la racine du disque j'ai un dossier "32788R22FWJFW" qui contient des elements et qui a pour icone celui de l'explorateur et qui lorsque je clique dessus me renvois vers "ordinateur" (ou poste de travail) donc joue de raccourcis. J'ai perdus des raccourcis un peu partout sur l'explorateur je crois
    Contenus similaires
    5 Mars 2012 21:56:05

    mouarf
    Citation :
    D:\Logiciel installé\Office 2010 Pro (Theo version)\mini-KMS_Activator_v1.052\mini-KMS_Activator_v1.052.exe (Riskware.Keygen) -> Aucune action effectuée.


    en plus, si tu ne supprimes pas, ça sert à rien de passer MBAM

    ok, on continue:

    1


  • Télécharge Unhide.exe (de Grinler) sur ton Bureau.

  • Fais un double clic sur l'icône pour lancer Unhide.

  • Laisse l'outil tourner.

  • Si l'outil crée un rapport, il sera sur ton bureau (Unhide.txt), poste-le.


    2

    Désactive ton antivirus et tout autre type de protection.
    Télécharge ComboFix de sUBs : Combofix
    Sauvegarde-le sur ton bureau et pas ailleurs!

    Double-clic sur ComboFix, Il va te poser une question, suis les invites puis attends que combofix ait terminé, il est possible que ton PC reboot, c’est normal, un rapport sera créé.Poste le rapport:C:\Combofix.txt
    clique dessus pour l'ouvrir, puis édition "sélectionner tout", édition "copier"

    viens sur le forum et édition "coller"

    AIDE : Un guide et un tutoriel sur l'utilisation de ComboFix
    * le nom de la partition peut changer

    <@_@>
    5 Mars 2012 23:21:35

    Pour le truc mis en citation désolé j'ose pas le supprimer, il s'agit d'un keygen pour office 2010, il m'est vraiment très utile, et c'est pas spécialement un virus (plus un faux positif il me semble)

    Combofix :
    Probleme : j'ai Antivir et Microsoft Security Essentials en meme temps ! le problème c'est que j'arrive pas à désactiver MSE, quand je vais dans le panneau de config, sécurité, centre de maintenance, je ne peux rien modifier ! (l'option "désactiver" face à mse, apparait grisée) j'ai peut etre bidouillé des trucs au niveau des services, sa pourrait venir de la, parceque je voulais augmenter ma ram donc j'ai desactivé des truc qui servais à rien l'autre jour. Donc le combofix je sais pas s'il a bien fait son travail à 100%...
    http://cjoint.com/?BCfxldgYD8u

    Unhide :
    http://cjoint.com/?BCfxlBmzZAN

    Pour le reste, avec unhide, tout semble avoir réapparus, ya juste ma quick start en bas à gauche avec les petites icones dans la barre des taches qui n'existe plus (je la refais manuellement, sa va) et sinon autre fait etrange : quand je nettois les erreurs du registres avec ccleaner, y'en a une qui ne veut pas partir ! (cf : "L'extension de fichier {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} fait référence à un programme inexistant.")
    Si sa se trouve le virus est encore en tache de fond !
    6 Mars 2012 14:08:50

    'llo
    Electrical Storm a dit :
    autre fait etrange : quand je nettois les erreurs du registres avec ccleaner, y'en a une qui ne veut pas partir ! (cf : "L'extension de fichier {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} fait référence à un programme inexistant.")
    Si sa se trouve le virus est encore en tache de fond !

    Non c'est une clé avira.
    tu ferais bien de désinstaller Microsoft Security Essentials, ça ne sert à rien d'avoir plusieurs antivirus en même temps, à part ralentir ton pc. :o 

    On va tout revérifier avec un dernier outil :) 


  • Télécharge OTL (de OldTimer) sur ton Bureau.
  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche Rapport minimal.
  • Coche également les cases à côté de Recherche Lop et Recherche Purity.
  • sous Personnalisation (dans le cadre blanc), copie_colle le contenu du cadre ci dessous:


    netsvcs
    msconfig
    drivers32
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    nslookup http://www.google.fr /c
    SAVEMBR:0
    CREATERESTOREPOINT



  • Enfin, clique sur le bouton Analyse. Laisse travailler l'outil.
  • Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau).

    Pour me transmettre les rapports :
    Utilise ce service:
    http://pjjoint.malekal.com/
    Poste les liens.


    7 Mars 2012 23:14:29

    'soir :) 

    Citation :
    Pour MSE, oui mais je sais pas comment le désinstaller, et je peux pas le désactiver.


    essaye cela:

    Lire: [Tutoriel]Désinstaller facilement un antivirus ou un pare feu


    ++


  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Sous l'onglet Personnalisation (dans le cadre blanc) en bas de la fenêtre, copie-colle le texte suivant (entre les deux espaces) :

    :OTL
    @Alternate Data Stream - 174 bytes -> C:\ProgramData\TEMP:EB2F6FB8
    @Alternate Data Stream - 1131 bytes -> C:\Users\Nicolas\AppData\Local\tggaDrsEeIBTmU:RjopvCOGikSe1blo4Rd9vuZWk

    :files
    C:\Windows\ssndii.exe

    :commands
    [emptytemp]
    [reboot]

  • Puis clique sur le bouton Correction en haut de la fenêtre.
  • Laisse le programme travailler, redémarre une fois le fix terminé.
  • Poste le rapport qui s'affichera après redémarrage.


    +++++++++++++++++++



    On va vérifier que plusieurs programmes sont bien à jour:


    • Télécharge SX Check&Update (de igor 51) sur ton Bureau.

      /!\ Déconnecte-toi, désactive ton anti-virus et ferme toutes applications en cours /!\
    • Double-clique sur SXC&U.exe situé sur ton Bureau pour le lancer.

    • Au menu principal, choisis l'option Rapport.




    • Poste le rapport qui s'affiche à ton écran.

  • /!\ Pense à réactiver ton antivirus /!\

    8 Mars 2012 17:46:19

    OTL avec corrections :
    http://cjoint.com/?BCirPjorn3Y

    SXC&U :
    http://cjoint.com/?BCirNTQdF6u

    Merci pour le lien sur les antivirus, je pensais désinstaller Antivir pour Avast, est ce un bon choix ? c'est lequel le meilleur gratuit du moment ? et pour le reste, comment compléter ma protection (qui me semble insuffisante, j'ai même pas de pare feu par exemple, par soucis de perf... mais au final je perds le temps gagné avec cette connerie ><)
    8 Mars 2012 22:06:23

    re

    rien n'est à jour, ton pc est complétement vulnérable aux infections....

    • Relance SX Check&Update.
    • Clique sur Update java et accepte la mise à jour.
    • Clique sur Update Flash et accepte la mise à jour.
    • Clique sur Update Adobe reader et accepte la mise à jour.



  • Tutoriel: SX Check&Update

    +++++++++++++++
    pour ton antivirus, perso, je suis passé d'antivir à avast (pour cette version). Cela changera certainement, mais pour le moment, avast est larfgement au dessus (à mon sens)
    pas besoin de pare feu sous seven
    après, avast + firefox sécurisé avec noscript et adblock + wot et ça suffit amplement
    MBAM en cas de pépin et c'est tout.


    10 Mars 2012 15:26:43

    Coucou,

    J'ai tout remis à jour avec SX Check&Update.
    J'ai viré Antivir avec AppRemover (hyper efficace ce truc !) et j'ai mis avast!. J'ai remis à jour MBAM, j'ai mis no script sur firefox (+adblock deja mis) bref tout comme tu m'as dit.

    Comment être sur qu'il n'y a plus rien ? je passe un coup d'OTL ? parceque avec la config logicielle que j'ai actuellement, j'aimerais bien me faire une image disque (clean de virus si possible) parceque je réalise que tout formater me ferait sacrement chier. C'est pour sa que je me blinde en sécurité.

    Et par curiosité, j'aimerais comprendre qu'est ce qu'a fait ces lignes de commande dans OTL

    Citation :
    @Alternate Data Stream - 174 bytes -> C:\ProgramData\TEMP:EB2F6FB8
    @Alternate Data Stream - 1131 bytes -> C:\Users\Nicolas\AppData\Local\tggaDrsEeIBTmU:RjopvCOGikSe1blo4Rd9vuZWk

    :files
    C:\Windows\ssndii.exe


    En tout cas merci pour le suivis ! quelle classe ces helpers :) 
    10 Mars 2012 16:46:37

    re
    pour moi c'est bon:
    Citation :
    @Alternate Data Stream - 174 bytes -> C:\ProgramData\TEMP:EB2F6FB8
    @Alternate Data Stream - 1131 bytes -> C:\Users\Nicolas\AppData\Local\tggaDrsEeIBTmU:RjopvCOGikSe1blo4Rd9vuZWk

    soit des ads infectieux, soit des dl de p2p (donc je vire)
    C:\Windows\ssndii.exe <<<------ exécutable infectieux




    Supprime/Désinstalle tous les programmes utilisés pour la désinfection.
    (mais garde Malwarebytes' Anti-Malware pour faire des scan réguliers (en n'omettant pas de le mettre à jour)

    Merci de consulter ce dossier (en pdf) pour en connaître davantage sur les risques du Net.



    Si tu trouves ce document intéressant, n'hésite pas à le transmettre à tes contacts.

    Si tu en as assez d'être assailli de publicités durant ta navigation, installe Firefox sécurisé avec les extensions noscript et AdBlock Plus.

    Lire aussi:
  • Antispyware gratuit : ça sert à rien!

    ~Clique, sur ton premier message, sur le bouton "Editer" et marque [résolu] dans le titre.

    Clique ensuite sur "Valider votre message"

    :hello: 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS