Infection TR/Crypt.xpack.gen !!! AU SECOUUUURRRSSS

Gof · le 9 décembre 2009

Bonsoir Zebulon777

Voilà ce que nous allons faire dans un premier temps, vérifier les versions d'Antivir et du fichier. Pour les versions d'Antivir, fais ceci sur chacun des PC :

Ouvre l'interface Antivir
Rends toi dans Aide > A propos de Avira Antivir Personnal
Clique sur l'onglet Informations de version
Surligne tout, et fais un clic-droit afin de sélectionner Copier dans le Presse-Papiers
Colle les informations dans un fichier texte (via Notepad) afin de pouvoir ensuite les copier-coller dans ta réponse.

Tu fais ça sur les deux PC, pour pouvoir comparer les versions Antivir. Ensuite, pour vérifier le fichier en question :

Télécharge WinMD5 de S!Ri
Décompresse-le et exécute-le
Pointe jusqu'au fichier qui nous intéresse
Copie-colle les informations contenues dans le champ Somme de contrôle MD5 dans un fichier texte (via Notepad) afin de pouvoir ensuite les copier-coller dans ta réponse.

Là encore, tu le fais sur les deux PC. Au bout du compte de la manipulation, on saura si on a bien les mêmes versions Antivir, et le même fichier suspect ou non. On avisera ensuite.

Zebulon777 · le 10 décembre 2009

Je vais le faire sur le micro de mon fils, mais je ne peux pas la faire sur l'autre car ma fille est partie pour quelques jours.

Zebulon777 · le 10 décembre 2009

Voici les informations demandées :

-------

Version du produit 9.0.0.74 04/12/2009

Moteur de recherche 8.02.01.108 09/12/2009

Fichier de définitions des virus 7.10.01.212 10/12/2009

Control Center 9.00.00.20 10/12/2009

Config Center 9.00.00.21 20/02/2009

Luke Filewalker 9.00.03.10 24/11/2009

AntiVir Guard 9.00.01.32 20/08/2009

Filtre 9.00.03.17 10/12/2009

Planificateur 9.00.00.09 14/07/2009

Updater 9.00.00.52 20/08/2009

1ED120273DEEAADC215672F5A936305F

-------

J'ai été obligé de désactiver Antivir pour pouvoir effectuer le calcul, mais ça me semble logique.

Que dois-je faire ?

Modifié le 10 décembre 2009 par Zebulon777

Gof · le 10 décembre 2009

Bonsoir Zebulon777

Cette histoire est embêtante. Ca sent le faut-positif à plein nez, mais curieusement Antivir ne détecte pas d'après ce que tu me rapportes le fichier sur le PC de ta fille. A défaut pour l'instant de savoir s'il s'agit bien strictement de la même version Antivir et du même fichier et en attendant le retour de ta fille, je vais te demander d'effectuer une analyse normale de ton système (du pc de ton fils en fait) avec Antvir.

Il faudra juste que tu prennes soin qu'Antivir ne fasse rien sur les détections, il faudra ignorer. De sorte d'avoir un rapport de détection qui n'a touché à rien, sinon signalé les éventuels soucis.

Zebulon777 · le 11 décembre 2009

J'ai eu ma fille au téléphone, elle a supprimé tous les jeux car elle avait besoin de place pour un projet pour ses études.

Donc si j'ai bien compris : je lance un scan complet et minutieux avec Antivir, mais comment l'empêcher de faire quoi que ce soit puisqu'il répare automatiquement les fichiers, non ?

Est-ce que ça ne vaudrait pas le coup que j'installe un autre anti-virus sur ce mirco comme AVG ou Avast en prenant soin de désinstaller Antivir préalablement ?

Zebulon777 · le 11 décembre 2009

Bonsoir Zebulon777

Cette histoire est embêtante. Ca sent le faut-positif à plein nez, mais curieusement Antivir ne détecte pas d'après ce que tu me rapportes le fichier sur le PC de ta fille. A défaut pour l'instant de savoir s'il s'agit bien strictement de la même version Antivir et du même fichier et en attendant le retour de ta fille, je vais te demander d'effectuer une analyse normale de ton système (du pc de ton fils en fait) avec Antvir.

Il faudra juste que tu prennes soin qu'Antivir ne fasse rien sur les détections, il faudra ignorer. De sorte d'avoir un rapport de détection qui n'a touché à rien, sinon signalé les éventuels soucis.

Oui, mais sur le PC de ma fille, il y avait l'original, alors que sur celui de mon fils, ce n'est pas le cas.

Gof · le 11 décembre 2009

Bonjour Zebulon777

Oui, mais sur le PC de ma fille, il y avait l'original, alors que sur celui de mon fils, ce n'est pas le cas.

Tu m'as écrit que c'était une image, donc les fichiers devraient être les mêmes théoriquement, non ?

Est-ce que ça ne vaudrait pas le coup que j'installe un autre anti-virus sur ce mirco comme AVG ou Avast en prenant soin de désinstaller Antivir préalablement ?

Oui et non, on y viendra peut-être. Je m'explique : Si tu installes AVG (ou Avast) et qu'il ne voit rien, nous n'aurons pas la certitude que le fichier est sain pour autant ; on n'aura pas avancé. C'est pour ça que j'avais voulu contrôler les versions Antivir et les versions de fichiers. Manifestement, on ne pourra plus vérifier si ta fille a supprimé le jeu ; il est probable que le fichier en question ne soit pas le même sur les deux PC.

Maintenant, puisqu'Antivir est là, je te demandais une analyse complète afin de voir si d'autres fichiers étaient détectés avec la même signature par Antivir. Pour les réglages, afin que cela ne reste qu'une détection, procède comme ceci :

Prends soin de noter les réglages pour pouvoir le reconfigurer ensuite
Désactive le Guard d'antivir par un clic-droit sur l'icône dans la zone de notification. Tu dois obtenir un parapluie fermé
Ouvre l'interface d'Antivir
Rends toi dans Outils > Configuration
Sélectionne le mode Expert
Rends toi dans Recherche > Action en cas de résultat positif
Clique sur Automatique
Assure toi que l'action principale soit définie sur Ignorer
Comme on ne fait rien sur les fichiers détectés, il est inutile que l'option Copier le fichier dans la quarantaine avant l'action soit sélectionné
Clique sur Ok
Lance une analyse Contrôle intégral du système et poste le rapport à l'issue. Cela peut prendre un certain temps.

A l'issue, règle à nouveau les réglages Antivir afin de rétablir les paramètres initiaux, et réactive le Guard.

Je pense sincèrement qu'il s'agit d'un faux-positif, mais je n'en ai pas la certitude, d'où les manipulations suggérées. La prudence inciterait cependant à désinstaller le jeu, et à le réinstaller proprement, avec la version originale.

Zebulon777 · le 11 décembre 2009

Voici le résultat du scan Antivir que tu m'as demandé :

Avira AntiVir Personal

Date de création du fichier de rapport : vendredi 11 décembre 2009 20:46

La recherche porte sur 1433500 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus

Numéro de série : 0000149996-ADJIE-0000001

Plateforme : Windows Vista

Version de Windows : (Service Pack 2) [6.0.6002]

Mode Boot : Démarré normalement

Identifiant : SYSTEM

Nom de l'ordinateur : PC-DE-ALEXANDRE

Informations de version :

BUILD.DAT : 9.0.0.74 21698 Bytes 04/12/2009 13:56:00

AVSCAN.EXE : 9.0.3.10 466689 Bytes 24/11/2009 18:13:44

AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02

LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11

LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31

VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 18:13:44

VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 18:13:44

VBASE002.VDF : 7.10.1.1 2048 Bytes 19/11/2009 18:13:44

VBASE003.VDF : 7.10.1.2 2048 Bytes 19/11/2009 18:13:44

VBASE004.VDF : 7.10.1.3 2048 Bytes 19/11/2009 18:13:44

VBASE005.VDF : 7.10.1.4 2048 Bytes 19/11/2009 18:13:44

VBASE006.VDF : 7.10.1.5 2048 Bytes 19/11/2009 18:13:44

VBASE007.VDF : 7.10.1.6 2048 Bytes 19/11/2009 18:13:44

VBASE008.VDF : 7.10.1.7 2048 Bytes 19/11/2009 18:13:44

VBASE009.VDF : 7.10.1.8 2048 Bytes 19/11/2009 18:13:44

VBASE010.VDF : 7.10.1.9 2048 Bytes 19/11/2009 18:13:44

VBASE011.VDF : 7.10.1.10 2048 Bytes 19/11/2009 18:13:44

VBASE012.VDF : 7.10.1.11 2048 Bytes 19/11/2009 18:13:44

VBASE013.VDF : 7.10.1.79 209920 Bytes 25/11/2009 18:07:54

VBASE014.VDF : 7.10.1.128 197632 Bytes 30/11/2009 12:28:02

VBASE015.VDF : 7.10.1.178 195584 Bytes 07/12/2009 07:31:37

VBASE016.VDF : 7.10.1.179 2048 Bytes 07/12/2009 07:31:37

VBASE017.VDF : 7.10.1.180 2048 Bytes 07/12/2009 07:31:37

VBASE018.VDF : 7.10.1.181 2048 Bytes 07/12/2009 07:31:37

VBASE019.VDF : 7.10.1.182 2048 Bytes 07/12/2009 07:31:38

VBASE020.VDF : 7.10.1.183 2048 Bytes 07/12/2009 07:31:38

VBASE021.VDF : 7.10.1.184 2048 Bytes 07/12/2009 07:31:38

VBASE022.VDF : 7.10.1.185 2048 Bytes 07/12/2009 07:31:41

VBASE023.VDF : 7.10.1.186 2048 Bytes 07/12/2009 07:31:41

VBASE024.VDF : 7.10.1.187 2048 Bytes 07/12/2009 07:31:41

VBASE025.VDF : 7.10.1.188 2048 Bytes 07/12/2009 07:31:41

VBASE026.VDF : 7.10.1.189 2048 Bytes 07/12/2009 07:31:41

VBASE027.VDF : 7.10.1.190 2048 Bytes 07/12/2009 07:31:42

VBASE028.VDF : 7.10.1.191 2048 Bytes 07/12/2009 07:31:42

VBASE029.VDF : 7.10.1.192 2048 Bytes 07/12/2009 07:31:42

VBASE030.VDF : 7.10.1.193 2048 Bytes 07/12/2009 07:31:42

VBASE031.VDF : 7.10.1.219 179712 Bytes 11/12/2009 17:46:51

Version du moteur : 8.2.1.108

AEVDF.DLL : 8.1.1.2 106867 Bytes 16/09/2009 14:15:13

AESCRIPT.DLL : 8.1.3.2 582010 Bytes 10/12/2009 16:59:31

AESCN.DLL : 8.1.3.0 127348 Bytes 10/12/2009 16:59:13

AESBX.DLL : 8.1.1.1 246132 Bytes 24/11/2009 18:13:44

AERDL.DLL : 8.1.3.4 479605 Bytes 02/12/2009 12:28:14

AEPACK.DLL : 8.2.0.3 422261 Bytes 05/11/2009 16:25:53

AEOFFICE.DLL : 8.1.0.38 196987 Bytes 11/07/2009 15:46:53

AEHEUR.DLL : 8.1.0.186 2183544 Bytes 07/12/2009 17:26:56

AEHELP.DLL : 8.1.8.0 237942 Bytes 07/12/2009 17:26:46

AEGEN.DLL : 8.1.1.80 364917 Bytes 07/12/2009 17:26:45

AEEMU.DLL : 8.1.1.0 393587 Bytes 03/10/2009 19:04:46

AECORE.DLL : 8.1.9.1 180598 Bytes 10/12/2009 16:59:02

AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 13:32:40

AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30

AVPREF.DLL : 9.0.3.0 44289 Bytes 27/09/2009 07:35:55

AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28

AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42

AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22

AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37

SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49

SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57

NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59

RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 14/07/2009 16:05:54

RCTEXT.DLL : 9.0.73.0 88321 Bytes 24/11/2009 18:13:43

Configuration pour la recherche actuelle :

Nom de la tâche...............................: Contrôle intégral du système

Fichier de configuration......................: C:\program files\avira\antivir desktop\sysscan.avp

Documentation.................................: bas

Action principale.............................: ignorer

Action secondaire.............................: ignorer

Recherche sur les secteurs d'amorçage maître..: marche

Recherche sur les secteurs d'amorçage.........: marche

Secteurs d'amorçage...........................: C:, D:,

Recherche dans les programmes actifs..........: marche

Recherche en cours sur l'enregistrement.......: marche

Recherche de Rootkits.........................: marche

Contrôle d'intégrité de fichiers système......: arrêt

Fichier mode de recherche.....................: Tous les fichiers

Recherche sur les archives....................: marche

Limiter la profondeur de récursivité..........: 20

Archive Smart Extensions......................: marche

Heuristique de macrovirus.....................: marche

Heuristique fichier...........................: moyen

Début de la recherche : vendredi 11 décembre 2009 20:46

La recherche d'objets cachés commence.

'101343' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :

Processus de recherche 'guardgui.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés

Processus de recherche 'notepad.exe' - '1' module(s) sont contrôlés

Processus de recherche 'AAWTray.exe' - '1' module(s) sont contrôlés

Processus de recherche 'unsecapp.exe' - '1' module(s) sont contrôlés

Processus de recherche 'AAWService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'KHALMNPR.exe' - '1' module(s) sont contrôlés

Processus de recherche 'COCIManager.exe' - '1' module(s) sont contrôlés

Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés

Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés

Processus de recherche 'unsecapp.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SetPoint.exe' - '1' module(s) sont contrôlés

Processus de recherche 'EDICT.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'TrueImageMonitor.exe' - '1' module(s) sont contrôlés

Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'Quickcam.exe' - '1' module(s) sont contrôlés

Processus de recherche 'schedhlp.exe' - '1' module(s) sont contrôlés

Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés

Processus de recherche 'VCDDaemon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'MSASCui.exe' - '1' module(s) sont contrôlés

Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés

Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés

Processus de recherche 'WmiPrvSE.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SDWinSec.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés