[Resolu] TR/Crypt.ZPACK.Gen détécté par Antivir

[DudleySmith]

Bonjour à toutes et à tous,

 

avant de partir en congé mon colocataire à grillé son pc. A sa demande, j'ai accepté qu'il ait accès à mon pc portable en mon abscence. Il s'agit d'un Médion MD41533 avec windows SP2 (impossible de faire les mises à jour depuis que je suis passé à Firefox ??), Intel Penthium 4 CPU 2,80 GHz, 189 MB RAM, SiS M650. Avira Antivir Personal à jour et antivir Guard actif. Pare feu Windows actif.

Je viens de rentrer et j'ai la désagréable surprise de constater que mon ordi est infecté par TR/Crypt.ZPACK.Gen détécté par Antivir.

J'ai lancé un scan en mode sans échec mais le PC se coupe à environ 5 pourcent du scan.

Idem pour Spybot mais ça le faisait déjà avant (pas assez de RAM ??).

J'ai tenté House Call de Trend Micro en scan online, le pc surchauffe et se coupe... impossible de savoir si je ne suis infecté que par ce Troyen. Par ailleurs, lors du téléchargement des outils HouseCall, leur site m 'a annoncé que ma connection était "très lente" alors que je suis sensé avoir une connection 8 Giga (livebox inventel) ??

Merci de votre aide

 

Ps: Si vous avez besoin d'un rapport HijackThis, faites le moi savoir

Modifié le 13 août 2009 par DudleySmith

[DudleySmith]

Je viens de lire le post sur l'utilisation de ce forum, donc voici le rapport HijackThis:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:44:05, on 11/08/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\WINDOWS\System32\khooker.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\System32\wbem\wmiapsrv.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\JEROME\Bureau\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [siS KHooker] C:\WINDOWS\System32\khooker.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: ikowin32.exe

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shock...ash/swflash.cab

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

 

--

End of file - 2486 bytes

[angelique]

c'est un nain ton coloc , tu lui diras qu'il est juste bon à ...... peu importe

 

• relance HJT " do a system scan only" , coche uniquement les lignes ci dessous et clic Fixchecked puis acept:

 

O4 - Startup: ikowin32.exe

 

 

*´¨ )

,.•´¸.•*¨) ¸.•*¨)

(¸.•´ : (¸.•´ : (´¸.•*´¯`*•

» Télécharge combofix.exe (par sUBs) » et sauvegarde le sur ton bureau , pas ailleurs!!!!!

 

 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

 

http://imagesup.org/images/1238940640-cfdl.jpg

http://imagesup.org/images/1240127722-cfsave.jpg

 

 

 

Les Antivirus couinent sur ComboFix (Nircmd ....), faut autoriser ou désactiver temporairement son AV (tu clic droit sur ton parapluie dans ton systray et decoche antivir guard enable ), ainsi que la demande d'access à la zone sure si le firewall couine , il faut autoriser \o/

 

* Double-clique combofix.exe, accepte le CluF qui s'affiche, afin de l'exécuter et suis les instructions.INSTALLE LA CONSOLE DE RECUPERATION A SA DEMANDE /!\ , ne debranche pas ta LiveBox

* Lorsque l'analyse sera complétée, un rapport apparaîtra que tu me posteras.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

[DudleySmith]

Effectivement, c'est un sale nain et il sert... à rien... mais sa mère OMG! quelle bombe! (bon, ça je lui dis pas, hein)

Si j'arrive à l'emmener à l'hôtel, je serai bien vengé des dégats qu'il à causé

Mais bon, trêve de phantasmes...

Pardonne-moi de ma réponse tardive mais j'ai lancé un scan avec Combofix une 1° fois et l'ordi s'est coupé au moment d'éditer le log, j'ai du attendre qu'il refroidisse...

Quand je l'ai rallumé, j'avais un fichier backup mais sans extension, donc je l'ai supprimé et j'ai recliqué sur combofix.exe (la 1° fois j'ai eu un message d'erreur disant que ce programme ne marche qu'avec Win 2000/XP et que je devrais lancer une detection de rootkit ??? j'ai réessayé et ça a passé)

voilà le résultat

ComboFix 09-08-10.06 - JEROME 11/08/2009 21:07.2.1 - NTFSx86

Running from: c:\documents and settings\JEROME\Bureau\ComboFix.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

 

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

 

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

---- Previous Run -------

.

c:\documents and settings\JEROME\Application Data\Microsoft\Internet Explorer\Quick Launch\avast! Antivirus.lnk

c:\documents and settings\JEROME\Application Data\wiaserva.log

 

 

 

.

((((((((((((((((((((((((( Files Created from 2009-07-11 to 2009-08-11 )))))))))))))))))))))))))))))))

.

 

2009-08-05 10:05 . 2009-08-05 10:05 -------- d-----w- c:\program files\uTorrent

2009-08-05 10:03 . 2009-08-11 15:54 -------- d-----w- c:\documents and settings\JEROME\Application Data\uTorrent

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-08-11 14:33 . 2003-04-24 12:00 48814 ----a-w- c:\windows\system32\perfc00C.dat

2009-08-11 14:33 . 2003-04-24 12:00 367896 ----a-w- c:\windows\system32\perfh00C.dat

2009-06-25 16:20 . 2009-06-25 16:20 -------- d-----w- c:\program files\Avira

2009-06-25 16:20 . 2009-06-25 16:20 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira

.

 

((((((((((((((((((((((((((((( SnapShot@2009-08-11_17.21.20 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-08-11 18:56 . 2009-08-11 18:56 16384 c:\windows\Temp\Perflib_Perfdata_710.dat

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SiS KHooker"="c:\windows\System32\khooker.exe" [2003-05-29 294912]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"NoSMMyPictures"= 0 (0x0)

"NoStartMenuMyMusic"= 0 (0x0)

"NoRecentDocsNetHood"= 0 (0x0)

"NoSMHelp"= 1 (0x1)

"NoSimpleStartMenu"= 0 (0x0)

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoSMMyPictures"= 0 (0x0)

"NoStartMenuMyMusic"= 0 (0x0)

"NoRecentDocsNetHood"= 0 (0x0)

"NoSMHelp"= 1 (0x1)

 

[HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate\au]

"NoAutoUpdate"= 1 (0x1)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WgaLogon]

[bU]

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"d:\\eMule\\emule.exe"=

"c:\\WINDOWS\\system32\\sessmgr.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

xxxxx:tcp emule

xxxx:UDP"= xxxx:UDP:udp emule

 

R3 SiS7012;Service for AC'97 Sample Driver (WDM);c:\windows\system32\drivers\sis7012.sys [12/03/2007 22:30 814740]

.

.

------- Supplementary Scan -------

.

uStart Page = hxxp://www.google.com/

FF - ProfilePath - c:\documents and settings\JEROME\Application Data\Mozilla\Firefox\Profiles\ry6mxdlf.default\

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-08-11 21:14

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

Completion time: 2009-08-11 21:18

ComboFix-quarantined-files.txt 2009-08-11 19:18

 

Pre-Run: 17 216 245 760 octets libres

Post-Run: 17 210 408 960 octets libres

 

85 --- E O F --- 2008-02-13 12:44

 

Merci de ton aide

Modifié le 11 août 2009 par DudleySmith

[DudleySmith]

J'ai oublié de préciser: je n'ai pas lancé combofix en mode sans échec mais en mode normal

[angelique]

ça avait pas l'air si grave que ça en definitive , antivir ayant je pense bien reagi et empeché une partie de l'infection de s'installer.

 

» Configure le les cases cochées comme sur cette video: http://www.malekal.com/fichiers/antivir/Co...onAntivirV9.avi

Met le à jour , fait un scan de ton systeme, IGNORE la détection sur ComboFix /!\ , et poste le rapport.

 

» Télécharge Malwarebytes' Anti-Malware (MBAM)

http://www.malwarebytes.org/mbam/program/mbam-setup.exe

 

* Double clique sur le fichier téléchargé pour lancer le processus d'installation.

* Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.

* Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".

* Sélectionne "Exécuter un examen rapide"

* Clique sur "Rechercher"

* L'analyse démarre, le scan est relativement long, c'est normal.

* A la fin de l'analyse, un message s'affiche :

L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

 

Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.

* Ferme tes navigateurs.

* Si des malwares ont été détectés, clique sur Afficher les résultats.

Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

* MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

 

 

 

NB : Si MBAM te demande à redémarrer, fais-le.

[DudleySmith]

Ok, merci Angelique

 

Je fais tout ça en mode sans échec ?

J'ignore si je vais pouvoir faire un scan avec antivir, comme je te l'ai dis l'ordinateur surchauffe et se coupe à environ 5% du scan d'antivir...

Si je vide certains fichiers des partitions D et F sur un DD externe, le scan sera sans doute plus rapide, mais est-ce que cela risque de l'infecter ??

[angelique]

*Je fais tout ça en mode sans échec ?

 

» en mode normal

 

* J'ignore si je vais pouvoir faire un scan avec antivir, comme je te l'ai dis l'ordinateur surchauffe et se coupe à environ 5% du scan d'antivir...

 

» il va falloir resoudre ton binz de surchauffe CPU avec un coup de bombe à air sur le Rad\Fan du cpu eventuellement

 

* y'a pas de detection support usb infecté à ce qui est vu , donc non .

[DudleySmith]

*» il va falloir resoudre ton binz de surchauffe CPU avec un coup de bombe à air sur le Rad\Fan du cpu eventuellement

 

>>Effectivement, mais je n'ose pas démonter le pc...

 

Je vais déjà vider les deux autres partitions, faire une défragmentation et je vais suivre la procédure que tu m'a indiqué.

[angelique]

OK ! merci antivir car il a du couiner pour empecher le reste de l'infection de O4 - Startup: ikowin32.exe de s'installer .

 

• demonte pas tout , un coup de bombe_air si surchauffe.Apres je rentre pas dans le details ..ta pâte thermique sous le cpu ..etc..