tr\crypt.xpack.gen CONFICKER

[angelique]

ok le rapport catchme.log generé avec hidelook.bat(dans le dossier diaghelp avec le nouveau catchme.exe remplaçé) stp!

[NONO61]

catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-04-20 14:42:45

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

[angelique]

ouawouu , tu redemarres le pc stp! as tu toujours des detections par antivir , la dll revient ??

[NONO61]

ouawouu , tu redemarres le pc stp! as tu toujours des detections par antivir , la dll revient ??

malheureusement ça revient avira trouve toujours le résultat positif ! tr\crypt.xpack.gen !!!!!!!!!!!!!!!

j'ai juste scanné system32 :

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\WINDOWS\system32'

C:\WINDOWS\system32\nevimh.dll

[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen

[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003

[AVERTISSEMENT] Impossible de supprimer le fichier!

[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bc91bc4.qua' !

 

 

Fin de la recherche : 2009-04-20 15:27

Temps nécessaire: 02:55 Minute(s)

 

La recherche a été effectuée intégralement

 

192 Les répertoires ont été contrôlés

5924 Des fichiers ont été contrôlés

1 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

1 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

0 Impossible de contrôler des fichiers

5923 Fichiers non infectés

15 Les archives ont été contrôlées

1 Avertissements

1 Consignes

Modifié le 20 avril 2009 par NONO61

[angelique]

tu as bien appliqué la mise à jour de microsoft ??

 

http://fr.wikipedia.org/wiki/Conficker

 

le soucis c'est que si les autres pc du reseau ont aussi conficker , il cherche de nouveau à rentrer.

 

• tu copies la detection d'antivir stp

 

• bizarre que catchme ne montre rien, tu as bien remplaçé l'ancien catchme par le nouveau?, supprime catchme.log de ton bureau , et regenere un nouveau rapport hidelook.bat situé dans diaghelp stp.

 

ok tu as édité ton message precedent , la dll est en quarantaine , elle revient ???

[NONO61]

tu as bien appliqué la mise à jour de microsoft ??

 

http://fr.wikipedia.org/wiki/Conficker

 

le soucis c'est que si les autres pc du reseau ont aussi conficker , il cherche de nouveau à rentrer.

 

• tu copies la detection d'antivir stp

 

• bizarre que catchme ne montre rien, tu as bien remplaçé l'ancien catchme par le nouveau?, supprime catchme.log de ton bureau , et regenere un nouveau rapport hidelook.bat situé dans diaghelp stp.

 

ok tu as édité ton message precedent , la dll est en quarantaine , elle revient ???

oui j'ai bien appliqué la màj microsoft

oui il y a d'autres pc du réseau infectés

voici le rapport /Avira AntiVir Personal

Date de création du fichier de rapport : 2009-04-20 15:24

 

La recherche porte sur 1356481 souches de virus.

 

Détenteur de la licence :Avira AntiVir PersonalEdition Classic

Numéro de série : 0000149996-ADJIE-0001

Plateforme : Windows XP

Version de Windows :(Service Pack 3) [5.1.2600]

Mode Boot : Démarré normalement

Identifiant : Administrateur

Nom de l'ordinateur :TO1

 

Informations de version :

BUILD.DAT : 8.2.0.52 16931 Bytes 2008-12-02 14:55:00

AVSCAN.EXE : 8.1.4.10 315649 Bytes 2008-11-18 08:21:00

AVSCAN.DLL : 8.1.4.1 49921 Bytes 2008-07-21 13:44:27

LUKE.DLL : 8.1.4.5 164097 Bytes 2008-06-12 12:44:16

LUKERES.DLL : 8.1.4.0 13057 Bytes 2008-07-04 07:30:27

ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 2008-10-27 11:30:36

ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 2009-02-11 17:04:23

ANTIVIR2.VDF : 7.1.3.63 1588224 Bytes 2009-04-16 13:35:11

ANTIVIR3.VDF : 7.1.3.74 28672 Bytes 2009-04-19 06:07:22

Version du moteur: 8.2.0.148

AEVDF.DLL : 8.1.1.0 106868 Bytes 2009-03-26 17:04:41

AESCRIPT.DLL : 8.1.1.75 373113 Bytes 2009-04-14 13:35:06

AESCN.DLL : 8.1.1.10 127348 Bytes 2009-04-06 06:10:26

AERDL.DLL : 8.1.1.3 438645 Bytes 2008-11-04 13:58:38

AEPACK.DLL : 8.1.3.14 397685 Bytes 2009-04-20 06:07:27

AEOFFICE.DLL : 8.1.0.36 196987 Bytes 2009-03-26 17:04:35

AEHEUR.DLL : 8.1.0.119 1724791 Bytes 2009-04-20 06:07:26

AEHELP.DLL : 8.1.2.2 119158 Bytes 2009-03-26 17:04:31

AEGEN.DLL : 8.1.1.36 340341 Bytes 2009-04-20 06:07:24

AEEMU.DLL : 8.1.0.9 393588 Bytes 2008-10-14 10:05:56

AECORE.DLL : 8.1.6.9 176500 Bytes 2009-04-14 13:35:02

AEBB.DLL : 8.1.0.3 53618 Bytes 2008-10-14 10:05:56

AVWINLL.DLL : 1.0.0.12 15105 Bytes 2008-07-09 08:40:02

AVPREF.DLL : 8.0.2.0 38657 Bytes 2008-05-16 09:27:58

AVREP.DLL : 8.0.0.3 155905 Bytes 2009-04-17 13:35:12

AVREG.DLL : 8.0.0.1 33537 Bytes 2008-05-09 11:26:37

AVARKT.DLL : 1.0.0.23 307457 Bytes 2008-02-12 08:29:19

AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 2008-06-12 12:27:46

SQLITE3.DLL : 3.3.17.1 339968 Bytes 2008-01-22 17:28:02

SMTPLIB.DLL : 1.2.0.23 28929 Bytes 2008-06-12 12:49:36

NETNT.DLL : 8.0.0.1 7937 Bytes 2008-01-25 12:05:07

RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 2008-07-04 07:23:16

RCTEXT.DLL : 8.0.52.1 86273 Bytes 2008-07-17 10:08:43

 

Configuration pour la recherche actuelle :

Nom de la tâche..................: ShlExt

Fichier de configuration.........: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ab414429.avp

Documentation....................: bas

Action principale................: interactif

Action secondaire................: ignorer

Recherche sur les secteurs d'amorçage maître: marche

Recherche sur les secteurs d'amorçage: marche

Secteurs d'amorçage..............: C:,

Recherche dans les programmes actifs: arrêt

Recherche en cours sur l'enregistrement: arrêt

Recherche de Rootkits............: arrêt

Fichier mode de recherche........: Tous les fichiers

Recherche sur les archives.......: marche

Limiter la profondeur de récursivité: 20

Archive Smart Extensions.........: marche

Heuristique de macrovirus........: marche

Heuristique fichier..............: moyen

 

Début de la recherche : 2009-04-20 15:24

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\WINDOWS\system32'

C:\WINDOWS\system32\nevimh.dll

[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen

[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003

[AVERTISSEMENT] Impossible de supprimer le fichier!

[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bc91bc4.qua' !

 

 

Fin de la recherche : 2009-04-20 15:27

Temps nécessaire: 02:55 Minute(s)

 

La recherche a été effectuée intégralement

 

192 Les répertoires ont été contrôlés

5924 Des fichiers ont été contrôlés

1 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

1 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

0 Impossible de contrôler des fichiers

5923 Fichiers non infectés

15 Les archives ont été contrôlées

1 Avertissements

1 Consignes

 

 

et nouveau catchme.log

 

catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-04-20 15:37:12

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

[angelique]

bon tu as appliqué la maj microsoft , y'a plus de hidden et la dll est quarantaine , ça devrait plus revenir là??

[NONO61]

c'est bizarre

 

je reprends la procédure depuis ce matin, et donc je refais la màj microsoft, et là, pendant l'installation, avira m'informe que c:\ARK.tmp contient le cheval de troie tr\crypt.xpack.gen , alors je le mets en quarantaine on va bien voir !

Modifié le 20 avril 2009 par NONO61

[angelique]

ok quarantine , on va bien voir , le nom du fichier a changé deja ........ lol

 

retourne là voir si tu vois toutes les images ????? :

http://www.confickerworkinggroup.org/infec...cfeyechart.html

 

tu verras à reessayé de desactiver l'autorun automatique sur tous les lecteurs comme je t'ai dis precedemment voir si tu peux maintenant le faire via gpedit.msc , puis insere toutes tes clés usb sans les ouvrir surtout puis:

 

Télécharge UsbFix (de Chiquitine29) sur ton Bureau :

http://sd-1.archive-host.com/membres/up/12...5653/UsbFix.exe

 

--> Lance l'installation avec les paramètres par défaut.

 

--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.

 

--> Double-clique sur le raccourci UsbFix sur ton Bureau.

--> lance "nettoyage"

--> Le PC va redémarrer.

 

--> Après redémarrage, poste le rapport UsbFix.txt

 

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.

 

Une page sur ton truc à 250.000$ : http://forum.malekal.com/viewtopic.php?f=3...=150455#p150455

[NONO61]

ok quarantine , on va bien voir , le nom du fichier a changé deja ........ lol

 

retourne là voir si tu vois toutes les images ????? :

http://www.confickerworkinggroup.org/infec...cfeyechart.html

 

tu verras à reessayé de desactiver l'autorun automatique sur tous les lecteurs comme je t'ai dis precedemment voir si tu peux maintenant le faire via gpedit.msc , puis insere toutes tes clés usb sans les ouvrir surtout puis:

 

Télécharge UsbFix (de Chiquitine29) sur ton Bureau :

http://sd-1.archive-host.com/membres/up/12...5653/UsbFix.exe

 

--> Lance l'installation avec les paramètres par défaut.

 

--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.

 

--> Double-clique sur le raccourci UsbFix sur ton Bureau.

--> lance "nettoyage"

--> Le PC va redémarrer.

 

--> Après redémarrage, poste le rapport UsbFix.txt

 

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.

 

Une page sur ton truc à 250.000$ : http://forum.malekal.com/viewtopic.php?f=3...=150455#p150455

bonjour ANGELIQUE

 

je vois effectivement bien toutes les images

 

je n'arrive tjrs pas a activer l'autorun( je n'ai pas les lignes : système, Réseau, Dossiers partagés, panneau de configuration, Bureau)

 

j'ai installé usbfix, et voici le rapport

 

############################## [ UsbFix V3.010 ]

 

# User : Administrateur (Administrateurs) # TO1

# Update on 19/04/09 by C_XX & Chiquitine29

# Start at: 08:25:05 | 2009-04-21

# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/

 

# AMD Athlon 64 X2 Dual Core Processor 5000+

# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3

# Internet Explorer 7.0.5730.13

# Windows Firewall Status : Disabled

# AV : Avira AntiVir PersonalEdition Classic 8.0.1.30 [ Enabled | Updated ]

 

# C:\ # Disque fixe local # 149.04 Go (126.34 Go free) # NTFS

# D:\ # Disque CD-ROM

# E:\ # Disque amovible # 7.67 Go (5.56 Go free) [N LEBANC] # FAT32

# F:\ # Disque amovible # 240.24 Mo (157.33 Mo free) [KINGSTON] # FAT

# Y:\ # Connexion réseau

# Z:\ # Connexion réseau

 

############################## [ Processus actifs ]

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Program Files\Google\Update\GoogleUpdate.exe

C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\SolidWorks\COSMOSFloWorks\FloWorks\binCFW\StandAloneSlv.exe

C:\Program Files\CyberLink\Shared Files\RichVideo.exe

C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe

C:\WINDOWS\system32\SearchIndexer.exe

C:\Program Files\Trend Micro\OfficeScan Client\ofcdog.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\userinit.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

################## [ Fichiers # Dossiers infectieux ]

 

Deleted ! F:\RECYCLED\INFO.exe

 

################## [ Registre # Clés Run infectieuses ]

 

# -> Not Found !

 

################## [ Registre # Startup ]

 

HKCU_Main: "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

HKCU_Main: "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"

HKCU_Main: "Window Title"=""

HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

HKLM_logon: "DefaultUserName"=""

HKLM_logon: "AltDefaultUserName"="administrateur"

HKLM_logon: "LegalNoticeCaption"=""

HKLM_logon: "LegalNoticeText"=""

HKLM_Run: RTHDCPL=RTHDCPL.EXE

HKLM_Run: NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

HKLM_Run: nwiz=nwiz.exe /install

HKLM_Run: NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

HKLM_Run: RemoteControl="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

HKLM_Run: LanguageShortcut="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"

HKLM_Run: NeroFilterCheck=C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

HKLM_Run: SecurDisc=C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe

HKLM_Run: InCD=C:\Program Files\Nero\Nero 7\InCD\InCD.exe

HKLM_Run: OfficeScanNT Monitor="C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow

HKLM_Run: BrStsWnd=C:\Program Files\Brownie\BrstsWnd.exe Autorun

HKLM_Run: Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

HKLM_Run: SolidWorks_CheckForUpdates="C:\Program Files\Fichiers communs\Gestionnaire d'installation SolidWorks\Scheduler\sldIMScheduler.exe" /scheduler

HKLM_Run: avgnt="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=

HKCU_Run: CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe

HKCU_Run: swg=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

 

################## [ Registre # Mountpoints2 ]

 

# -> Not Found !

 

################## [ Listing des fichiers présent ]

 

C:\AUTOEXEC.BAT

C:\NTDETECT.COM

C:\boot.ini

C:\tmuninst.ini

C:\autorun.inf

E:\91.31_winxp2kmce_international_whql.exe

E:\181.20_geforce_winxp_32bit_international_whql.exe

E:\family tree builder.exe

 

################## [ Vaccination ]

 

# C:\autorun.inf -> Folder created by Flash_Disinfector.

# E:\autorun.inf -> Folder created by UsbFix.

# F:\autorun.inf -> Folder created by UsbFix.

 

################## [ ! Fin du rapport # UsbFix V3.010 ! ]

 

 

A+