INFECTION PAR CHEVAL DE TROIE

[Ling]

Bonjour,

 

Hier j'ai un programme qui s'est manifesté visuellement et s'est installé ou plutôt que jai installé en cliquant dessus sous le nom de : VAIO MEDIA GALLERY croyant que c'était une mise à jour normale.

 

Puis une fenêtre s'est ouverte sous le nom de WINDOWS INSTALLER avec son chargement (qui ne se termine jamais) mais toutes les minutes à peu près un flash de fenetre se met à clignoter sans que je puisse voir ce que c'est car trop furtif.

Aujourdhui encore, le programme se manifeste seul. Jai tenté darrêter le processus par le gestionnaire des tâches sans succès (la fenêtre ne s'ouvre pas).

 

Jai aussitôt fait une analyse avec mon antivirus gratuit AVIRA ANTIVIR qui m'a découvert et déplacé en quarantaine "un cheval de troie TR/Crypt.XPACK.Gen"; il a été trouvé dans "systemroot"...et il a trouvé 53 objets cachés dont je ne peux effacer.

 

Bizarrement mon ordi se comporte anormalement depuis hier avec des fenetres qui s'activent furtivement et qui disparaissent ainsi q'une activité permanente sur le réseau que je vois par le clignotement de la diode de mon ordi.

 

Comment m'en débarrasser SVP c'est urgent. J'ai utilisé ZHP FIX (j'ai pas voulu attendre mais effectivement...j'aurai dû !), qui a dupliqué toutes mes images, photos,films, dossiers, documents and setting verrouillé par un cadenas en me disant que " l'accès à ce dossier est refusé, vous devez utiliser l'onglet de sécurité"...j'en perd mon latin là !

 

Mon équipement et mon OS : VAIO SONY x64 sous windows 7

 

Jai téléchargé sur le site kapersky virus removal tool pour me confirmer que je suis infecté car je n'ai pas vraiment confiance en ANTIVIR qui ne me détecte plus rien depuis qu'il l'a déplacé en quarantaine. Aussi bizarre que cela puisse paraître, TREND MICRO ne ma rien détecté non plus. Est-ce un leurre sachant que des fenêtre intempestives s'ouvrent ? J'ai même tenté de changer mon compte utilisateur en compte standard ou limité d'après les conseils que j'ai pu lire mais en vain, impossible de décocher et recocher un autre choix.

 

Je vous soumets le rapport d'Antivir. J'attend vos recommandations pour la procédure à suivre afin de mieux m'armer contre cette intrusion de trojans.

 

Cordialement.

 

 

RESUME DES EVENEMENTS DU 20/07/2011

 

20/07/2011 08:00

 

Dans le fichier 'C:\Program Files\Sony\VCM Intelligent Analyzing Manager\VcmIAlzEngineDTVData.dll'

un virus ou un programme indésirable 'TR/Crypt.XPACK.Gen' [trojan] a été détecté.

Action exécutée : Refuser l'accès

 

 

 

Dans le fichier 'C:\Program Files\Sony\VCM Intelligent Analyzing Manager\VcmIAlzThumbnailD.dll'

un virus ou un programme indésirable 'TR/Crypt.XPACK.Gen' [trojan] a été détecté.

Action exécutée : Refuser l'accès

 

 

 

Dans le fichier 'C:\Program Files\Sony\VCM Intelligent Analyzing Manager\VcmIAlzEngineAVMarkerD.dll'

un virus ou un programme indésirable 'TR/Crypt.XPACK.Gen' [trojan] a été détecté.

Action exécutée : Refuser l'accès

 

 

 

Le fichier 'C:\Program Files\Common Files\Sony Shared\VcmXml\VcmXmlIfAdVcmFileE.dll'

contenait un virus ou un programme indésirable 'TR/Crypt.XPACK.Gen' [trojan].

Action(s) exécutée(s) :

Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '48b5c41a.qua' !

 

 

Dans le fichier 'C:\Program Files\Common Files\Sony Shared\VcmXml\VcmXmlIfAdVcmFileE.dll'

un virus ou un programme indésirable 'TR/Crypt.XPACK.Gen' [trojan] a été détecté.

Action exécutée : Refuser l'accès

 

 

 

Dans le fichier 'C:\Program Files\Common Files\Sony Shared\VcmXml\VcmXmlIfAdVcmFileE.dll'

un virus ou un programme indésirable 'TR/Crypt.XPACK.Gen' [trojan] a été détecté.

Action exécutée : Refuser l'accès

 

 

 

Le fichier 'C:\Windows\Installer\$PatchCache$\Managed\C5F1DFA5ADF8C314FA831F7EDB017DF2\2.1.0\vcmxmlifadvcmfilee.d.A6438A99_8A0E_4F66_9554_C43C6B1AADAE'

contenait un virus ou un programme indésirable 'TR/Crypt.XPACK.Gen' [trojan].

Action(s) exécutée(s) :

Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b8e1a60.qua' !

 

 

RAPPORTS D'INFECTION TROJAN TR/CRYPT.XPACK.Gen

 

Log Avira Antivir

Modifié le 26 juillet 2011 par Ling

[bernard53]

Bonjour

 

Normalement ce fichier C:\Program Files\Common Files\Sony Shared\VcmXml\VcmXmlIfAdVcmFileE.dll est sain.

Antivir le détectes mais il est possible que se soit un faux positif. Fait ceci pour le confirmer s.t.p

 

Vas ici : VirusTotal - Free Online Virus, Malware and URL Scanner

Clique sur choisir un fichier et choisi ce fichier :

C:\Program Files\Common Files\Sony Shared\VcmXml\VcmXmlIfAdVcmFileE.dll

 

Poste le rapport s.t.p

Modifié le 22 juillet 2011 par bernard53

[Ling]

Bonjour Bernard,

 

Je suis allée chercher la ligne dans le dossier que tu m'as recommandé mais elle n'existe pas.

 

Toutefois, 2 lignes se ressemblent :

 

• 
  
• VcmXmlIfAdVcmFile.dll
  
• VcmXmlIfAdVcmFile64.dll
  

 

Je les aient analyser quand même et rien ne figure d'anormal.

 

Parcontre, j'ai pensé peut-être qu'une mise à jour était corrompue sous SONY MEDIA GALLERY, du coup j'ai préféré supprimer le programme mais c'était une erreur puisqu'il se manifeste encore sous "windows installer" à n'importe quel moment, disparaît comme un éclair. Il y a aussi ce bloc-note "desktop" qui s'active qu'au lancement du PC ayant d'inscrit :

[.ShellClassInfo]LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

 

Plusieurs tentatives pour trouver et tuer le processus mais faudrait-il le trouver et y avoir accès car depuis l'utilisation de DHP FIX à l'aveugle, j'ai des dossiers comme "document and settings" "local settings"...verrouillés.

 

De plus je ne peux que restaurer à une date antérieure mon PC car ne pas le CD de bootage, j'en ai fait la demande auprès de SONY qui me le délivrera qu'au bout de quelques jours. En attendant, je dois trouver des mesures appropriées pour désinfecter cet ordi et éradiquer ces processus. Aucun antivirus ne détecte quoi que ce soit : ni Bitdefender, ni NOD32, ni Kapersky, ni Trend Micro, c'est bizarre !

 

On m'a conseillé de faire les manip. en mode sans échec avec prise en réseau, ce que je ne sais faire : F5, F8, F11 ne démarre pas le mode sans échec au lancement.

 

Je n'ai donc plus d'options...Qui peut m'aider SVP ?

[bernard53]

Pour ceci

[.ShellClassInfo]LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

 

 

: Explorateur Windows>Onglet organiser>Options des dossiers et de recherche>Affichage>-

décocher "afficher les dossiers et fichiers cachés",

"appliquer" et "ok"

 

De plus je ne peux que restaurer à une date antérieure mon PC car ne pas le CD de bootage

.

tu confonds restauration usine qui pour moi n'est pas la peine avec la restauration système.

Cette dernière tu peux l'effectuer en validant une journée avant cette mise à jour de Sony.

 

 

Ok pour l'analyse des 2 fichiers

 

C'est quoi DHP FIX

[Ling]

Oui autant pour moi ! c'est " ZHP FIX " un Nettoyeur. Il fixe des lignes suspectes comme " HIJACTHIS ", débarrasse les journaux, événements, temp, corbeille etc.

 

Pour la restauration système, je l'ai effectué manuellement en donnant une date et une heure antérieure à mes problèmes, ce n'est pas concluant, des fenêtres de programmes s'activent comme ce que j'ai déjà cité plus haut.

 

Je ne sais pas quoi faire !

[Ling]

En faisant la recherche du bloc note qui me pourri la vie par menu démarrer shell : il me trouve 12 desktop.ini mais aucun ne correspond à la dénomination que j'ai cité.

 

Comment m'en débarrasser ?

[bernard53]

En faisant la recherche du bloc note qui me pourri la vie par menu démarrer shell : il me trouve 12 desktop.ini mais aucun ne correspond à la dénomination que j'ai cité.

 

Comment m'en débarrasser ?

 

tu as recaché les fichiers comme je te l'ai signalé?

 

Ok pour Zhpfix

 

tu dois avoir zhpdiag donc fait un nouveau rapport et poste le.

 

 

 

Mets le rapport ici car il prend bien de la place.

Cliquez ici.

ou la

Cijoint.fr - Service gratuit de dépôt de fichiers

[Ling]

Hello Bernard,

 

J'ai bien recaché les dossiers et fichiers système après puisque çà n'a pas résolu mon problème.

 

Depuis mes péripéties avec ZHP FIX...je n'ai pas téléchargé ZHP DIAG et ai supprimé aussi ZHP FIX.

 

Faut-il que je retélécharge ces logiciels ?

 

J'attend ton feu vert.

[bernard53]

Hello Bernard,

 

J'ai bien recaché les dossiers et fichiers système après puisque çà n'a pas résolu mon problème.

 

Depuis mes péripéties avec ZHP FIX...je n'ai pas téléchargé ZHP DIAG et ai supprimé aussi ZHP FIX.

 

Faut-il que je retélécharge ces logiciels ?

 

J'attend ton feu vert.

 

 

fait ceci alors pour zhpdiag.

 

 

Télécharges << ZHPDiag>> (de Nicolas Coolman)

 

dezzipes le fichier sur ton bureau...

Fais un clic-droit sur l'icône ZHPDiag .exe et choisis "exécuter en tant qu'administrateur".

 

 

L'installation va créer raccourcis (ZHPDiag et ZHPFix et MBRchek) sur ton bureau

 

 

 

A la fin de l'installation ZHPDiag va se lancer....

 

Cliques sur l'icône "Options" (image du tournevis) et coches toutes les options.

Cliques sur "Lancer le diagnostique" (image de la loupe) et patiente...

 

A la fin du scan cliques sur l'icône "sauvegarder le fichier sous" (image de la disquette bleu) et enregistre le rapport sur ton bureau.

 

Mets le rapport ici car il prend bien de la place.

Cliquez ici.

ou la

Cijoint.fr - Service gratuit de dépôt de fichiers

[Ling]

Me revoici Bernard,

 

J'ai suivi ta procédure avec ZHP DIAG, voici le rapport que tu attends : Mon lien

Modifié le 26 juillet 2011 par Ling