Votre question

sos: cheval de troie : TR/Crypte.XPACK.Gen

Tags :
  • TR/Crypte.XPACK.Gen
  • Trojan
  • Sécurité
Dernière réponse : dans Sécurité et virus
8 Octobre 2012 02:27:41

bonjour,

J'ai besoin d'aide car avira me détecte plusieurs de ce cheval de troie et à chaque fois il lance un scan auto le supprime redémarre le pc mais après le redémarrage c'est le même problème et ainsi de suite.

Merci d'avance

Autres pages sur : sos cheval troie crypte xpack gen

a b 8 Sécurité
8 Octobre 2012 10:01:49

Bonjour,

Tu peux me donner l'emplacement du fichier ?

  • Télécharge OTL (de Old Timer) sur ton Bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche Avec liste blanche sous Registre: approfondi.
  • Fais de même pour celle devant Tous les utilisateurs.

  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut :
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Rq : Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse. En ças de problème, voir cette aide à l'utilisation ici.
    m
    0
    l
    9 Octobre 2012 13:06:12

    Bonjour,

    Désolé de ne pas avoir pu répondre avant, et merci de ton réponse, j'ai téléchargé OTL mais pour Age du fichier je laisse 30 jours ou je mets 360 jours ? et pour l'age des fichier créés ainsi que l'age des fichiers modifiés ?
    est-ce-que je dois également cocher "avec liste blanche des société" ?

    Sinon je regarde pour l'emplacement du fichier
    m
    0
    l
    Contenus similaires
    9 Octobre 2012 13:44:58

    Alors pour le otl.txt :

    http://security-x.fr/up/file.php?h=R2d27ab1b53522c32134...

    extras.txt :

    http://security-x.fr/up/file.php?h=R21f0d2d382f4467ca29...


    L'emplacement du fichier :

    C:\Windows\winsxs\x86_microsoft-windows-safedocs-main_31bf3856ad364e35_6.0.6001.18000_none_2509bc4c66c893cc\sdengin2.dll


    C:\Windows\winsxs\x86_microsoft-windows-safedocs-main_31bf3856ad364e35_6.0.6001.18000_none_2509bc4c66c893cc\sdshext.dll

    et d'autre c'est toujours le même emplacement seule la terminaison change ( sdengin2.dll, sdshext.dll ...)
    m
    0
    l
    a b 8 Sécurité
    9 Octobre 2012 16:55:29

    Re,

    Il y a des adwares, on va se charger de ça.
    Désinstalle si possible : Conduit Engine, Softonic_France Toolbar, Ask Toolbar & Avira SearchFree Toolbar plus Web Protection Updater

    • Sur cette page AdwCleaner (de Xplode) , clique sur l'image de téléchargement et enregistre le fichier sur ton Bureau.
    • Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation.
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur. Et sous IE9, le filtre SmartScreen déclenche une alerte, clique sur Actions puis sur Exécuter quand même /!\
    • Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
    • A la fin, un rapport AdwCleaner[S1].txt s'ouvre. Poste le rapport en pièce jointe dans ta prochaine réponse

  • Rq : le rapport se trouve sous C:\AdwCleaner[S1].txt

    Ainsi qu'un nouveau rapport OTL.
    m
    0
    l
    10 Octobre 2012 16:50:53

    Re

    AdwCleaner[S2].txt :

    http://security-x.fr/up/file.php?h=Rafb48ea14450e875c06...

    Le otl.txt :

    http://security-x.fr/up/file.php?h=Ree614a3a05000c7bdbb...

    Extras.txt :

    http://security-x.fr/up/file.php?h=R19085cd5fca828048d6...


    Pour ce qui est de Désinstaller : Conduit Engine, Softonic_France Toolbar, Ask Toolbar & Avira SearchFree Toolbar plus Web Protection Updater
    j'ai essayé après la fin su suppression lancée avec AdwCleaner mais je ne les trouve pas sur le panneau de configuration (désinstaller, modifier un programme)

    m
    0
    l
    a b 8 Sécurité
    10 Octobre 2012 20:48:29

    Je donne les procédures dans le bon sens généralement hein :D 

    • Relance OTL.exe
    • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
      /!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\
    • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche :

      :OTL
      IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
      IE - HKCU\..\URLSearchHook: {3d4d238c-9c48-47cd-a95c-53259acf9e56} - No CLSID value found
      O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
      O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {3D4D238C-9C48-47CD-A95C-53259ACF9E56} - No CLSID value found.
      O4 - HKLM..\Run: [] File not found
      O4 - HKCU..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background File not found
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000 File not found

      :Commands
      [emptytemp]

    • Puis clique sur le bouton Correction en haut à gauche.
    • Le pc va redémarrer (si ce n'est pas le cas, fais-le manuellement).
    • Poste le rapport de suppression s'il apparait.

  • Note : le rapport est enregistré sous format .log, il convient de changer cette extension en .txt si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure.
    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\

    &

    • Télécharge MalwareByte's Anti-Malware sur ton Bureau.
    • Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
      Une fois l'installation et la mise à jour effectuées :
    • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
    • Afin de lancer la recherche, clic sur"Rechercher".
    • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
      - Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
      -- Si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection".
    • Enregistre le rapport sur ton Bureau.
    • Poste ce rapport.

  • REMARQUE: Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.

    &

    • Télécharge SX Check&Update (de igor 51) sur ton Bureau.
      /!\ Désactive ton anti-virus et ferme toutes applications en cours /!\
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    • Double-clique sur SXC&U.exe situé sur ton Bureau pour le lancer.
    • Au menu principal, clique sur le bouton Update Flash et installe la nouvelle version Flash Player pour tous les navigateurs.
    • Ensuite, clique sur le bouton Update Java et Adobe Reader pour installer la dernière version proposée.
      /!\ Lors des installations, pense à décocher les cases d'installation pour des toolbars et autres /!\
    • Au menu principal, choisis l'option Rapport.
    • Poste le rapport qui s'affiche à ton écran.
    m
    0
    l
    11 Octobre 2012 01:17:21

    lol c'est moi qui es un peu trop fatigué ces derniers temps !

    Rapport OTL :

    All processes killed
    ========== OTL ==========
    HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\StartPageCache| /E : value set successfully!
    Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{3d4d238c-9c48-47cd-a95c-53259acf9e56} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3d4d238c-9c48-47cd-a95c-53259acf9e56}\ not found.
    Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02478D38-C3F9-4efb-9B51-7695ECA05670}\ not found.
    Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{3D4D238C-9C48-47CD-A95C-53259ACF9E56} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3D4D238C-9C48-47CD-A95C-53259ACF9E56}\ not found.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
    Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\msnmsgr deleted successfully.
    Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\E&xporter vers Microsoft Excel\ deleted successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: ataya
    ->Temp folder emptied: 1476609692 bytes
    ->Temporary Internet Files folder emptied: 309922500 bytes
    ->Java cache emptied: 5499043 bytes
    ->FireFox cache emptied: 64230255 bytes
    ->Google Chrome cache emptied: 50751009 bytes
    ->Flash cache emptied: 60028 bytes

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: Public

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 272711252 bytes
    RecycleBin emptied: 16636653 bytes

    Total Files Cleaned = 2 095,00 mb


    OTL by OldTimer - Version 3.2.69.0 log created on 10102012_212255

    Files\Folders moved on Reboot...

    PendingFileRenameOperations files...

    Registry entries deleted on Reboot...






    Sinon MalwareByte's Anti-Malware n'a rien détecté


    Rapport SX Check&Update :


    SX Check&Update
    Lien vers le tutoriel : http://forum.security-x.fr/tutoriels-317/tutoriel-sx-ch...
    ---
    Windows Version : Windows Vista 32 bits
    Service Pack : 1
    UserName : ataya
    11/10/2012
    00:53:03
    version = v0.2.5
    ---
    Windows Update Information :
    AUOptions : 4
    Automatically, no notification
    ---
    Name : FlashPlayer ActiveX
    Version : 11.4.402.287
    Flash Player ActiveX est à jour

    Name : FlashPlayer Plugin FF
    Version : 11.4.402.287
    Flash Player Plugin FF est à jour

    Name : FlashPlayer Plugin
    Version : 11.4.402.287
    Flash Player Plugin est à jour

    Nom : Mozilla Firefox 15.0.1 (x86 fr)
    Version : 15.0.1

    Nom : Mozilla Maintenance Service
    Version : 15.0.1

    Java Information :
    Nom : Java 7 Update 7
    Version : 7.0.70
    Java 7 Update 7 est à jour

    Nom : Adobe Reader X (10.1.4) - Français
    Version : 10.1.4
    Adobe Reader est à jour

    Nom : Internet Explorer
    Version : 7.0.6001.18000





    m
    0
    l
    a b 8 Sécurité
    11 Octobre 2012 13:34:15

    Tu as toujours la même détection ?
    m
    0
    l
    12 Octobre 2012 01:03:51

    Oui toujours
    m
    0
    l
    a b 8 Sécurité
    14 Octobre 2012 00:13:48

    Tu peux me donner l'emplacement du fichier ?
    m
    0
    l
    17 Octobre 2012 13:41:06

    Bonjour,

    C:\Windows\winsxs\x86_microsoft-windows-safedocs-main_31bf3856ad364e35_6.0.6002.18005_none_26f5355863ea5f18\sdshext.dll

    m
    0
    l
    18 Octobre 2012 12:23:12

    SHA256: 035f0dac2a43a063d8c9a31205eec2f37dadd5d222a68724a3509a8404e6df09
    SHA1: 2f31c2d2cc1b62a08eb3cc1514569c6a2be3b970
    MD5: cfb3e8a92c2baf2aa8df441f47bde437
    File size: 95.5 KB ( 97792 bytes )
    File name: sdshext.dll
    File type: Win32 DLL
    Detection ratio: 0 / 43
    Analysis date: 2012-10-18 10:21:08 UTC ( 0 minute ago )
    0
    0
    Less details

    Analysis
    Comments
    Votes
    Additional information

    Antivirus Result Update
    Agnitum - 20121018
    AhnLab-V3 - 20121018
    AntiVir - 20121018
    Antiy-AVL - 20121018
    Avast - 20121018
    AVG - 20121018
    BitDefender - 20121018
    ByteHero - 20121016
    CAT-QuickHeal - 20121018
    ClamAV - 20121018
    Commtouch - 20121018
    Comodo - 20121018
    DrWeb - 20121018
    eSafe - 20121017
    ESET-NOD32 - 20121018
    F-Prot - 20121018
    F-Secure - 20121018
    Fortinet - 20121018
    GData - 20121018
    Ikarus - 20121018
    Jiangmin - 20121018
    K7AntiVirus - 20121017
    Kaspersky - 20121018
    Kingsoft - 20121008
    McAfee - 20121018
    McAfee-GW-Edition - 20121018
    Microsoft - 20121018
    MicroWorld-eScan - 20121018
    Norman - 20121017
    nProtect - 20121018
    Panda - 20121018
    PCTools - 20121018
    Rising - 20121018
    Sophos - 20121018
    SUPERAntiSpyware - 20121018
    Symantec - 20121018
    TheHacker - 20121016
    TotalDefense - 20121017
    TrendMicro - 20121018
    TrendMicro-HouseCall - 20121018
    VBA32 - 20121016
    VIPRE - 20121018
    ViRobot - 20121018
    Blog | Twitter | contact@virustotal.com | Google groups | ToS | Privacy policy
    m
    0
    l
    a b 8 Sécurité
    18 Octobre 2012 21:59:24

    Detection ratio: 0 / 43
    C'est un faux positif, pas une infection.
    m
    0
    l
    19 Octobre 2012 23:44:06

    vous pensez que avira me detecte TR/Crypte.XPACK.Gen alors qu'il n'y rien ?
    Sinon le pc est très lent dès le démarrage et plante tout le temps
    m
    0
    l
    a b 8 Sécurité
    21 Octobre 2012 21:07:54

    Yep vue les résultats du scan antivir. Tu as des écrans d'erreur quand ça plante ?
    m
    0
    l
    22 Octobre 2012 00:42:20

    Je ne sais pas si j’avais mis le bon fichier à scanner, en plus quand je voulais scaner directement l'emplacement du ficher "C:\Windows\winsxs\x86_microsoft-windows-safedocs-main_31bf3856ad364e35_6.0.6002.18005_none_26f5355863ea5f18\sdshext.dll " je ne parvenais pas à l'ouvrir/trouver

    Sinon non rien ne s’affiche quant le pc plante, et en plus il est vraiment très lent tous le temps et il suffit de faire deux trois clics rapide pour qu'il plante
    m
    0
    l
    a b 8 Sécurité
    22 Octobre 2012 10:55:36

    File name: sdshext.dll
    C'est pas ce fichier que tu voulais scanner ?

    Tu fais le classique : nettoyage des fichiers temporaires, nettoyage poussière si pc de bureau, défragmentation, etc ?
    m
    0
    l
    24 Octobre 2012 17:43:12

    Si mais quand je l'ouvre je ne trouve pas les fichiers suspects qui sont, nettoyage par fois mais pas de défragmentation je pense que je vais essayer de contacter un informaticien pour formater
    m
    0
    l
    a b 8 Sécurité
    24 Octobre 2012 21:49:01

    Formater ne va pas forcément résoudre le problème par contre. Tu n'as pas le cd de windows ?
    m
    0
    l
    25 Octobre 2012 01:52:08

    ah oui !! mince je ne sais pas quoi faire dans ce cas, sinon non j'ai pas le cd une connaissance (informaticien) nous à installé ce Windows y a deux ans
    m
    0
    l
    a b 8 Sécurité
    25 Octobre 2012 13:11:03

    Tu as clé Windows sur ta tour ?
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS