Cheval de Troie TR/Crypt.XPACK.Gen

[Kerozenovitch]

Et voilà :

 

RogueKiller V7.6.5 [08/03/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/57)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur: Kèro [Droits d'admin]

Mode: Suppression -- Date: 08/06/2012 13:30:47

 

¤¤¤ Processus malicieux: 4 ¤¤¤

[sUSP PATH] laxzyldodalp.exe -- C:\Users\Kèro\laxzyldodalp.exe -> NOT KILLED [0x5]

[sVCHOST] svchost.exe -- C:\Windows\SysWOW64\svchost.exe -> KILLED [TermProc]

[RESIDUE] laxzyldodalp.exe -- C:\Users\Kèro\laxzyldodalp.exe -> NOT KILLED [0x5]

[RESIDUE] laxzyldodalp.exe -- C:\Users\Kèro\laxzyldodalp.exe -> NOT KILLED [0x5]

 

¤¤¤ Entrees de registre: 3 ¤¤¤

[sUSP PATH] HKCU\[...]\Run : laxzyldodalp (C:\Users\Kèro\laxzyldodalp.exe) -> DELETED

[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: TOSHIBA MK5055GSX +++++

--- User ---

[MBR] 93324dabe81485610b101fae4ed36caf

[bSP] 73e26391abbf9f80f3f430d635558f9e : Windows Vista MBR Code

Partition table:

0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 12000 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 24578048 | Size: 100 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 24782848 | Size: 464838 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[2].txt >>

RKreport[1].txt ; RKreport[2].txt

[nardino]

Bonjour,

Vérifie l'absence de l'intrus et vire-le si nécessaire.

Donne -moi des nouvelles pour passer à la phase de nettoyage des outils.

@+

[Kerozenovitch]

Hey,

 

Malheureusement l'intrus est toujours présent, et toujours impossible à supprimer.

J'ai réessayé plusieurs fois avec RogueKiller mais ça ne marche pas.

 

Que faire maintenant?

[nardino]

Bonsoir,

 

Combofix

 

IMPORTANT

Enregistre ComboFix.exe sur le Bureau

Désactive les applications antivirus et anti-malware résidentes, en général via un clic droit sur l'icône de la Zone de notification, sinon elles risquent d'interférer avec l'outil.

Fais un double clic sur l'icône et suis les invites.

Sous XP accepte l'installation de la console de récupération.

 

Surtout ne lance aucune application pendant le scan et après le redémarrage parfois nécessaire et provoqué par l'outil.

Lorsque l'outil aura terminé, il affichera un rapport.

Attends l'affichage du rapport.(Il sera enregistré sous C:\Combofix.txt)

Copie le contenu dans ta prochaine réponse.

 

Avertissement aux lecteurs.

Combofix n'est pas un outil anodin ni sans risques pour le système d'exploitation.

Il est conseillé de l'utiliser sous le contrôle d'un assistant.

 

@+

[Kerozenovitch]

Voilà le rapport combofix:

 

Lien CJoint.com 0HgxDqIJ7fW

 

Par contre je viens de me rendre compte en regardant le rapport que j'ai oublié de désactiver "windows defender". Je n'étais pas au courant que j'avais cet antivirus déjà installé, donc je n'y ai pas pensé. Est-ce qu'il vaut mieux que je refasse un scan combofix avec WD désactivé ou est-ce que ça ira?

 

Merci encore.

Modifié le 6 août 2012 par Kerozenovitch

[nardino]

Bonsoir,

TFC de OldTimer

Sous Vista et Windows 7, il faut être sous un compte administrateur

 

Ferme toutes applications en sauvegardant le travail en cours sinon l'outil le fera.

Clique sur l'icône en forme de poubelle et sur le bouton Start.

Quand le nettoyage sera terminé, clique sur le bouton Exit pour quitter l'outil.

Cet outil peut remplacer CCleaner sans problèmes.

 

Relance Combofix.

Si le bête résiste, je ferai appel à des assistants pour détecter le truc qui relance l'infection quand on la suppriem.

@+

[Kerozenovitch]

Arf la sale bête tiens vraiment à prendre racine.

 

Voilà le rapport de ComboFix.

[nardino]

Bonjour,

ATTENTION

Cette procédure a été rédigée pour le cas présent, toute copie sur sur un autre système peut entrainer des dysfonctionnements graves.

 

Ouvre le bloc-notes : Tous les programmes-Accessoire-Bloc-notes

Copie les lignes écrites ci-dessous en citation et colle-les dans le blocnotes.

Veille à ce que Retour à la ligne ne soit pas coché dans Format.

 

KillAll::

 

Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"laxzyldodalp"=-

 

Files::

c:\users\Kèro\laxzyldodalp.exe

 

 

Enregistre-le sous CFScript.txt sur le bureau, fais glisser CFScript.txt dans Combofix.exe

 

 

Combofix va se lancer et faire redémarrer l'ordinateur.

Poste le rapport enregistré ici : C:\Combofix

@+

[Kerozenovitch]

Bonjour,

Voilà le rapport Combofix:

 

http://cjoint.com/data/0Hhqy3XOifR.htm

[nardino]

Bonsoir,

tdsskiller.zip de Kaspersky

 

Décompresse l'archive et place TDSSKiller.exe sur le bureau.Double clicque sur le fichier.

Sur l'écran clique sur le bouton Start scan

A la fin du scan, si des nuisibles sont détectés, ceci apparaîtra:

Vérifie que l'option Cure est sélectionnée

Clique sur le bouton Continue

Puis sur le bouton Reboot now

Poste le contenu du rapport C:\TDSSKiller.Version_Date_Heure_log.txt

 

@+