Se connecter / S'enregistrer
Votre question

Infection SdBot 50 et TR\Crypt.XPack.gen

Tags :
  • Internet Explorer
  • Sécurité
Dernière réponse : dans Sécurité et virus
Anonyme
29 Août 2008 19:22:09

Bonjour à toutes et tous,

Depuis quelques temps, mon PC plante très régulièrement et mes sessions se terminent par des écrans bleus "Kernel Data Error".

Après plusieurs Checkdisks l'ordi a miraculeusement redémarré. J'en ai profité pour faire tourner Antivir et HijackThis.

Antivir a alors trouvé le vers SdBot.50 dans le fichier C:\windows\system32\i mais n'a pas réussi à le mettre en quarantaine. J'ai donc cliqué sur "supprimer au prochain démarrage". J'espère ne pas avoir fait de boulette.

Une deuxième alerte fait état de la présence de TR\Crypt.XPack.gen. Celui-ci a pu être mis en quarantaine.

Voici le lien pour le log: http://cjoint.com/?iDs0kk3d8e

Et celui du rapport d'antivir : http://cjoint.com/?iDs1L6cjT6

J'ai voulu mettre à jour internet Explorer mais quand j'ai voulu installer le 7.0, l'install m'a dit que mon système d'information ne supporte pas IE 7.0.

Je vous remercie par avance de l'aide que vous pourrez m'apporter pour éradiquer ces sales bêtes.

Autres pages sur : infection sdbot crypt xpack gen

29 Août 2008 21:08:43

Bonjour,

Télécharge ComboFix (de sUBs) sur ton Bureau.

  • Désactive temporairement toute protection résidente ! (Antivirus, antispywares..)
  • Double clique sur ComboFix.exe.
  • Accepte la licence en cliquant sur Oui.
  • Lorsque l'opération sera terminée, un rapport apparaîtra. Poste ce rapport dans ta prochaine réponse.

    Le rapport se trouve ici : %systemdrive%\ComboFix.txt (%systemdrive% étant la partition où est installée Windows; C:\ en général)

    Aide : Comment utiliser ComboFix.
    Anonyme
    29 Août 2008 21:30:28

    Merci beaucoup de ton aide XmichouX.

    J'ai comme un souci pour appliquer tes conseils. Antivir ne fonctionne plus. Je ne peux plus accéder au centre de contrôle et quand je veux le réinstaller, j'ai une boîte de dialogue qui me dit que le logiciel est endommagé et que cela est peut-être du à un virus.

    Quand je veux lancer Combofix, la barre de chargement s'affiche mais une fois qu'elle est remplie, tout ce qui se passe c'est juste un raffraîchissement du bureau.

    Je suis un peu perdu là...

    Merci encore de ton aide.

    Contenus similaires
    29 Août 2008 22:29:22

    Re,

    Peux-tu passer ComboFix en mode sans échec ?

    Fais redémarrer ton ordinateur en mode sans échec
    - Au démarrage, après le chargement du bios, appuie successivement sur la touche F8 (ou F5) de ton clavier jusqu'à l'apparition d'un menu sur fond noir. Une fois arrivé à ce stade, sélectionne à l'aide du clavier Mode sans Echec.
    -- Dans ce mode, tu n'as pas accès à Internet, et tu te retrouves avec une configuration visuelle différente (pas de fond d'écran, icônes très grosses). Ne sois donc pas étonné.
    --- C'est pour ces différentes raisons que je t'invite à imprimer, noter, ou enregistrer dans un document texte les informations suivantes afin de ne pas être perdu.
    ---- ! Ne fais pas démarrer ton ordinateur en mode sans échec via MSConfig ! Pourquoi ? Certaines infections cassent les clefs du mode sans échec, ce qui ferait crasher ton ordinateur.

    Aide : Comment faire démarrer son ordinateur en mode sans échec.
    Anonyme
    29 Août 2008 22:51:33

    http://cjoint.com/?iDwYwkXf2U

    Voici le rapport.

    Je suis effectivement passé par le mode sans échec entre temps. Mon ordi a l'air sacrément attaqué.

    Merci encore pour ton aide.
    30 Août 2008 11:49:06

    Re,

    Sélectionne l'intégralité du cadre ci-dessous :

    Collect::
    C:\WINDOWS\system32\uexxnur.exe

    Folder::
    C:\found.000
    C:\found.001

    Registry::
    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "UpdatesDisableNotify"=dword:00000000
    "AntiVirusDisableNotify"=dword:00000000
    "AntiVirusOverride"=dword:00000000
    "FirewallOverride"=dword:00000000

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "iTunesHelper"=-


  • Copie/colle le dans le Bloc Notes (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
  • Enregistre le sous sur ton bureau sous le nom de CFScript.txt
  • Glisse maintenant le fichier CFScript.txt dans ComboFix.exe comme ci-dessous :

  • Cela va relancer Combofix.
  • ComboFix créera ces fichiers sur ton Bureau :
    - Un fichier zippé nommé Submit [Date Time].zip
    - Un second fichier nommé - CF-Submit.htm
  • ComboFix peut exiger un redémarrage pour compléter son travail. Accepte.
  • Lorsque l'outil aura terminé, un rapport ComboFix.log apparaîtra à l'écran.
  • Une nouvelle fenêtre avec invite "Submit Files for further analysis" s'ouvrira. Clique "OK"
  • Ton navigateur se lancera automatiquement avec le fichier CF-Submit.htm et une fenêtre s'ouvrira :
    - Clique sur le bouton "Browse"("Parcourir") et navigue vers le fichier
    Submit [Date Time].zip qui est sur ton Bureau.
    - Clique sur le fichier afin de le sélectionner.
  • Soumets le fichier en cliquant "OK"
  • Lorsque cette opération sera complétée, tu peux supprimer ces deux fichiers qui se trouvent sur ton Bureau.
    Poste le contenu du rapport ComboFix.txt après redémarrage s'il y en a un.

    -------------

    Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
    - Coche Afficher les fichiers et dossiers cachés
    - Décoche Masquer les extensions des fichiers dont le type est connu
    - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)
    clique sur Appliquer, puis OK.

    N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

    Fais analyser le(s) fichier(s) suivants sur Virustotal

  • Clique sur Parcourir en haut, choisis Poste de travail et cherche ce fichier : C:\WINDOWS\system32\userinit.exe
  • Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  • Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
  • Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
  • Une nouvelle fenêtre de ton navigateur va apparaître
  • Clique alors sur cette image :
  • Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  • Enfin colle le résultat dans ta prochaine réponse.

  • Fais la même chose avec ces fichiers : C:\WINDOWS\system32\spoolsv.exe

    Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.
    Anonyme
    30 Août 2008 13:15:13

    Re,

    J'ai bien copié le cadre dans le blocnote. J'ai du passer par le mode sans échec car mon bloc note ne fonctionne plus.

    Entre temps j'avais installé Zone Alarm et celui-ci semble déjà ne plus fonctionner.

    Quand je fais glisser le fichier dans ComboFix, il y a une boîte de dialogue qui apparaît et qui me dit que mon OS est incompatible avec Combofix.

    Merci encore de tes conseils.
    30 Août 2008 14:33:19

    Re,

    Pas normal.

    Essaie de désinstaller/réinstaller ComboFix et refaire le script ainsi que le scan des fichiers.
    Anonyme
    31 Août 2008 19:07:52

    Re,

    Voici le rapport Combofix que j'ai pu finalement faire fonctionner en mode sans échec. Toutefois il ne m'a pas créé les deux fichiers dont tu parles et ne m'a pas proposé de scanner des fichiers "for further analysis".

    http://cjoint.com/?iFtfyDsJxU

    Je vais maintenant essayer de passer sur Virustotal.

    Encore un grand merci
    Anonyme
    31 Août 2008 19:31:16

    0 bytes size received / Se ha recibido un archivo vacio

    Quand je veux transférer userinit.exe sur virustotal, la transmission ne se fait pas et je reçois le message ci-dessus.

    Elles sont coriaces ces infections
    3 Septembre 2008 18:19:21

    bonjour
    grosse infection en effet.
    je préférerais qu'on fasse un scan en ligne avant de continuer.
    possible que tu sois contraint de formater...

    ~Fais une analyse antivirus en ligne sur le site de Kaspersky
    http://www.kaspersky.com/kos/eng/partner/default/kavweb...

    * Clique sur Accept
    * Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
    * clique une nouvelle fois sur "Accept"
    * Les bases de mises à jour vont s'installer, patiente un moment
    * Clique sur Next.
    * Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.
    * Poste le rapport de scan.
    5 Septembre 2008 22:43:29

    Merci encore du temps que vous passez à me dépanner.

    Malheureusement, je ne peux pas effectuer le scan. L'infection fait planter mon ordi trop fréquemment et le scan ne peut être mené à son terme.

    J'envisage donc fortement de formater le disque.

    Y a t-il des options spéciales de formattage? Quelle est la procédure la plus intelligente à suivre une fois le système réinstallé?

    Faut-il réinstaller Antivir et Zone Alarm sachant que cela nécessite un accès internet et que l'infection ne sera pas éradiquée?

    Merci d'avances de vos réponses.
    6 Septembre 2008 10:56:53

    bonjour
    tu récupères Antivir et Zone alarm avant de formater, tu les mets sur une clé.
    après tu formates, puis tu réinstalle xp.
    tu installes ton antivirus et ton pare feu avant de te connecter sur le net.
    enfin dès que tu es sur le net, tu fais tes mise à jour windows.

    :hello: 
    7 Septembre 2008 21:24:27

    Bonsoir,

    J'ai suivi vos conseils, formaté mon disque et installé Antivir et ZA hors ligne. Je suis encore infecté notamment par spoolsv.exe je pense. J'ai fait tourner hijackthis. Voici le log.

    http://cjoint.com/?jhvvkMv4uV

    J'espère qu'on va les virer ces saloperies!!

    Merci encore
    8 Septembre 2008 20:34:45

    bonsoir

    il aurait peut être fallu mettre ton système à jour, comme je te l'avais demandé...
    avec le sp1 et IE6 , tu auras toujours des soucis.

    Cette procédure doit être imprimée pour que tu puisses l’avoir sous les yeux quand tu seras en mode sans échec.

    Télécharge SDFix(créé par AndyManchesta) et sauvegarde le sur ton Bureau.
    ***Si le lien ne fonctionne pas, essaie celui-ci : http://download.bleepingcomputer.com/andymanchesta/SDFi... ***

    Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.
    Déroule la liste des instructions ci-dessous :
  • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
  • Appuie sur Y pour commencer le processus de nettoyage.
  • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  • Appuie sur une touche pour redémarrer le PC.
  • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !




    9 Septembre 2008 21:30:13

    Bonsoir,

    J'ai bien essayé de mettre mon ordinateur à jour mais le site windows update ne trouve pas les mises à jour et en l'état actuel mon système ne gère pas IE 7.

    J'ai fait tourner SDFix, dont voici le log.

    http://cjoint.com/?jjvAZLsQTO

    Cependant, après le rédémarrage, le programme a affiché plusieurs messages d'erreur disant que mon administrateur ne permettait pas la modification de la base de registre.

    Je joints également mon log Hijackthis:

    http://cjoint.com/?jjvDVLS7BU

    Merci de votre aide
    11 Septembre 2008 21:53:38

    re



    ~Lance Hijackthis “Do a system scan only”.
    Coche les lignes qui suivent si encore présentes et uniquement celles-là.

    O4 - HKLM\..\Run: [lsass.exe] C:\WINDOWS\system32\drivers\lsass.exe


    Clique sur Fix checked (en bas à gauche)


    redémarre ton pc et poste un rapport hijackthis
    11 Septembre 2008 22:19:31

    Bonsoir,

    J'ai supprimé la ligne en question. Voici le nouveau rapport d'Hijackthis après redémarrage.

    http://cjoint.com/?jlwrd8gxAm

    Par contre je ne peux plus me connecter à internet de mon poste infecté, ma connexion a une connectivité nulle sur ce poste alors qu'elle fonctionne sur un autre ordinateur. Est-ce que cela peut-être du au virus ou troyen?

    Merci.



    11 Septembre 2008 22:39:56

    re
    c'est propre

    ta connexion rame où elle est inexistante?
    t'as bien tout réinstallé?


    11 Septembre 2008 22:53:22

    Elle est inexistante pour le moment.

    Je suis en train de réinstaller les drivers pour voir si cela ne vient pas de là.

    Tout est propre? J'ai encore plein de processus svchost.exe. Je pensais que c'était un virus ce truc.

    Pour IE 7, je ne pourrais jamais l'installer sur mon PC ou bien c'est parce que j'ai une mauvaise version de l'installation.

    WAOOOOOOOUUUUUUUUUUUU si tout est propre, c'est vraiment nickel.

    MERCI BEAUCOUP, BEAUCOUP!! :bounce: 
    12 Septembre 2008 14:12:32

    Bonjour,

    Je n'ai toujours pas de connexion internet.

    J'ai bloqué l'accès au processus svchost.exe en pensant que c'était un virus. Peut-être est-ce pour cela que la connexion ne fonctionne pas.

    Merci pour tout en tout cas
    12 Septembre 2008 19:22:33

    bonsoir
    essaye en désactivant ton pare feu (zone alarm)
    clique droit dans le systray et fermer zone alarm
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS