Infection par TR/Crypt.XPACK.gen2 et redémarrage impossible

[Erwannowicz]

Bonjour à tous

 

Je me permets de vous déranger parce que là, je suis bien bien démuni... Pour commencer, je suis sous Vista, service pack 1.

 

J'ai subi une grosse attaque du virus TR/Crypt.XPACK.gen2

 

Je pianotais bien tranquillement quand Antivir m'a ouvert vingt fenêtres d'un coup me disant que le trojan avait été repéré dans le fichier Wininit.exe, qui se trouve dans les fichiers system. A peine le temps de faire quoi que ce soit que l'ordi a joliment crashé, écran bleu et redémarrage.

 

Et depuis, bah à chaque redémarrage il plante. Windows semble s'ouvrir, mais je me retrouve finalement avec un écran noir, et plus rien ne se passe. Même chose en mode sans échec, sauf que là, je parviens, grâce à Ctrl Alt Suppr à ouvrir le gestionnaire de programme, et là, une fenêtre à la con du genre Windows Security je sais pas quoi s'ouvre, me propose des scans en ligne et, bien entendu, je peux télécharger plein de logiciels qui vont me sauver la vie, sauf que je sais bien qu'il s'agit de fake, du genre Pest Detector et autres joyeusetés.

 

Bref, là je ne sais vraiment plus quoi faire, je n'ai accès à rien, ni à mon bureau, ni au mode sans échec, j'peux absolument rien faire, sauf démarrer en mode sans échec invite de commande, c'est le seul moment où je semble avoir la main sur quelque chose, sauf que là ça dépasse de loin mes maigres compétences.

 

Me voilà donc à vous écrire d'un autre PC, désespéré de pouvoir reprendre le contrôle du mien...

 

Bref... au secours...

 

Un grand merci d'avance à qui pourra me répondre.

[pear]

Bonjour,

 

Téléchargez les logiciels suivants pour les lancer l'un après l'autre.

Si l'infection en bloque l'installation,utilisez une clé usb, sur un pc sain.Lancez les à partir de cette clé Usb

 

Vous en posterez tous les rapports ensuite, à la fin des procédures

Télécharger TDSSKILLER

- Télécharger le .zip sur le Bureau.

- Extraire son contenu (clic droit >> "Extraire tout...") et valider ;

- Un dossier tdsskiller sera créé sur le Bureau.

Cliquer surStart scan pour lancer l'analyse.

Lorsque l'outil a terminé son travail d'inspection,

 

si des nuisibles ("Malicious objects") ont été trouvés,

 

vérifier que l'option est sélectionnée,

 

puis cliquer sur le bouton ,

 

puis sur le bouton

 

Envoyer en réponse:

*- le rapport de TDSSKiller (contenu du fichier SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:]

 

[/url]Télécharger exeHelper (de Raktor) sur le Bureau.

Double-cliquer sur exeHelper.comafin de le lancer.

Une fenêtre noire devrait s'ouvrir :

Patientez

Lorsque l'outil aura terminé son travail

appuyez sur n'importe quelle touche pour fermer la fenêtre,

Copier/coller le contenu du rapport exehelperlog.txt (créé à l'endroit où se trouve l'outil)

Note: Si une fenêtre avec message "Error deleting file" apparaît, relancer l'outil avant de poster le rapport - qui contiendra désormais les deux rapports.

 

 

Télécharger Rkill de Grinler sur le bureau,

double clic pour le lancer.

Sous Os 64 bits, Rkill ne fonctionne pas

Sous Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur"

Une fenêtre (très rapide) indiquera que tout s'est bien déroulé.

Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

il y aura 'un rapport là: %SystemDrive%\rkill.log

donnant la liste de tous les processus arrêtés.

 

 

Désinstallez Mbam, s'il est installé

Téléchargez MBAM

 

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Vous devez désactiver vos protections et ne savez pas comment faire ->Sur PCA,En Français

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

 

*Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

*Fermez les navigateurs.

Cliquez sur Afficher les résultats .

 

*Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

* Copiez-collez ce rapport dans la prochaine réponse.

[Erwannowicz]

Je veux bien faire tout ça, malheureusement je n'ai pas accès à mon bureau. Quand je démarre l'ordi, Windows s'ouvre, mais j'ai un écran noir avec, régulièrement, une fenêtre d'alerte Antivir qui s'ouvre pour m'informer que le virus TR/Crypt.XPACK.gen2 a infecté le fichier C:/system/system32/winitit.exe.

 

Quand je tape Ctrl+Alt+Suppr, il me propose changement d'utilisateur, verrouillage de la cession, ouverture du gestionnaire de prog, etc... J'en déduis donc que windows est bien ouvert, mon bureau aussi, mais que l'écran reste noir. J'ai bien la flèche de ma souris, que je peux bouger, mais sur un écran noir... ben je ne peux rien lancer, vu que je ne vois pas les icônes. Il me semble, mais je peux me planter, que wininit est le pilote qui gère l'interface du bureau, ce qui pourrait expliquer, vu qu'il est infecté, que mon bureau ne soit plus qu'un écran noir...

 

Il me fait exactement la même chose en mode sans échec.

 

Du coup, je ne peux pas suivre les procédures que vous m'indiquez...

 

Au secours...

[pear]

Quand vous ouvrez le gestionnaire de tâches, ne voyez vous pas un processus relatif à windows security ?

Si oui, supprimez.

 

Démarrez en mode sans échec avec option réseau

Modifié le 23 septembre 2010 par pear

[Erwannowicz]

Merci pour votre temps...

 

Même constat... Il démarre, m'affiche un écran noir avec écrit "mode sans échec" aux quatre coins, mais rien d'autre. J'ai essayé aussi l'option "dernier redémarrage correct", mais il me fait encore et toujours la même chose: écran noir avec sans cesse des fenêtres Antivir qui m'alerte de l'infection, et aucune possibilité de faire quoi que ce soit.

 

Edit: je viens de voir votre édition, je regarde pour le gestionnaire de tâche

 

Edit 2: quand j'ouvre le gestionnaire de tâches, même constat, je n'ai rien d'autre qu'un écran noir et les fenêtres antivir. La seule chose qui change, c'est quand j'ouvre le gestionnaire de tâches en mode sans échec. Là j'ai une fenêtre "Windows security essentials alert" qui me propose un scan en ligne(faux, j'imagine), puis qui me propose de télécharger de faux antivirus, comme ceux que j'ai donnés dans mon premier post.

Modifié le 23 septembre 2010 par Erwannowicz

[pear]

Pouvez vous ou non, télécharger les logiciels demandés soit en sans échec avec option réseau soit sur une autre machine ?

Le but étant de les lancer sur le pc malade à partir d'une clé Usb .

[Erwannowicz]

Je ne peux pas les télécharger sur la machine malade en mode sans échec avec option réseau, puisque même comme ça, mon bureau ne s'affiche pas et je ne peux absolument rien faire.

 

Je peux les télécharger sur une autre machine, celle de laquelle je poste. Le souci, c'est de les lancer ensuite sur la machine malade, dans la mesure où je n'accède pas au bureau...

[pear]

Ok, on change de méthode.

 

Avant tout, il vous faut une autre machine en état de marche disposant d'un graveur où vous insérez un disque vierge(cd ou dvd)

Sur la machine malade,vérifier l'ordre du boot dans le BIOS et mettre le lecteur cd(dvd) en premier(First boot)

 

Télécharger OTLPEStd.exe

 

Ou à partir de ce lien

sur le Bureau

Le fichier fait plus de 97MB, soyez donc patient pour le téléchargement.

Lancez le fichier OTLPEStd.exe ;

Un fichier .iso inclus dans le téléchargement sera gravé sur le disque vierge qui permettra d'avoir accès aux fichiers de la machine malade.

Insèrez le disque gravé sur la machine infectée et démarrez à partir de ce disque.

 

Si tout va bien, la machine démarrera sur l'environnement OTLPE

Lors du démarrage de OTLPE.exe il sera demandé à l'utilisateur s'il veut charger le Registre distant et il doit choisir Yes/Oui.

Ensuite, il lui sera demandé s'il veut charger les profils utilisateur distants, et il devra de nouveau choisir Yes/Oui.

Enfin, une liste des profils distants trouvés sera affichée, avec l'option par défaut de les charger tous, et l'utilisateur devra une fois encore choisir Yes/Oui.

S'il ne respecte pas cette procédure, il ne verra pas les comptes d'utilisateur distants.

 

 

Double-click sur l'icone OTLPE

A la demande "Do you wish to load the remote registry"->choisir Yes

et "Do you wish to load remote user profile(s) for scanning"->choisir Yes

vérifier que "Automatically Load All Remaining Users" est sélectionné et presser OK

 

L' écran d'OTLPE s'affiche:

Vérifier que les paramètres sont identiques à ceux de l'image ci-dessus.

 

sous Custom Scan/Fixes copier_coller le contenu ci dessous ,en vert :

netsvcs

%SYSTEMDRIVE%\*.exe

/md5start

explorer.exe

taskmgr.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

sceclt.dll

ntelogon.dll

logevent.dll

iaStor.sys

nvstor.sys

atapi.sys

cdrom.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\*. /mp /s

CREATERESTOREPOINT

 

clic Run Scan .

le scan terminé , le fichier se trouve là C:\OTL.txt

 

Comment poster les rapports

Vous copiez/collez tout ou partie des rapports dans un ou plusieurs messages.

Autre solution:

Aller sur le site :Ci-Joint

Appuyez sur Parcourir et chercher les rapports sur le disque,

Ensuite appuyez sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

[Erwannowicz]

Ok... alors là, j'suis sur un notebook, donc pas de lecteur et encore moins de graveur. Je vais relancer une de mes vieilles bécanes et suivre la procédure, mais ça va peut être mettre un peu de temps...

 

Dès que j'ai fini, je poste.

 

Merci encore.

[Erwannowicz]

Bon, procédure lancée, OTLPE bien téléchargé, l'ordi malade a bien lancé l'environnement OTLPE, j'ai bien ouvert le bon truc, mais j'ai un petit souci.

 

Je peux pas me connecter à internet de la machine malade, donc je ne peux pas copier/coller le contenu vert à mettre sous Custom Scans/Fixes, et du coup, j'aurai un souci aussi pour copier/coller les rapports.

 

Quand j'ouvre internet explorer de l'environnement OTLPE, il me charge une page d'erreur, idem quelque soit l'adresse que je tape. J'ai pourtant relié la machine malade avec ma box via cable ethernet... Je ne connais absolument pas OTLPE, du coup je ne sais pas s'il est normal que je n'ai pas d'accès à internet ou non...

 

Bref, qu'est-ce que je peux faire?

 

Est-ce que si je grave le contenu vert de ma machine saine sur un cd, via un fichier txt ou je ne sais quoi, je pourrais le lire ensuite sur ma machine infectée, sous l'environnement OTLPE?

 

Et si je fais le procédé inverse pour copier mes rapports de la machine infectée vers la machine saine, je ne risque pas d'infecter ma machine saine?

Modifié le 23 septembre 2010 par Erwannowicz