crypt.AQLW

[tonito77]

Bonjour, je cherche en vain à me débarrasser de ce qui semble être un cheval de troie ( du moins c'est ce que m'annonce AVG qui le détecte depuis 48 heures mais n'arrive visiblement pas à l'erradiquer ) Son nom est : crypt.AQLW, je suis loin d'être un expert en informatique, j'ai effectué des recherches mais la plupart des forums traitant de ce sujet sont en anglais. J'ai cru comprendre qu'il fallait s'en débarrasser assez vite, mais ne voulant pas faire de fausses manips qui aggraveraient la situation, je me tourne vers vous et sollicite votre aide.

J'ai suivi votre procédure Malwares premiers gestes pour désinfecter sa machine, et vous envoie donc en pièces jointes les fichiers log.txt et info.txt

Merci de votre réponse
tonito

[tonito77]

Je me permets d'envoyer deux copies d'écran des alertes d'AVG, il détecte la menace ( écran 1 ), semble la supprimer ( écran 2 ), puis la menace est de nouveau détectée quelques heures après...

[Lyonnais92]

Bonsoir,

on va commencer comme ça :

Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).[list]

• Lance MBAM et sélectionne "Exécuter un examen rapide". Patiente le temps du scan.
• Une fois le scan terminé, sélectionne tout ce qu'il a trouvé et clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

Ensuite, tu feras redémarrer l'ordi et tu feras ça :

Télécharge ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

Double clique sur le raccourci ZHPDiag sur ton Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt) avec le Bloc-Notes et copie son contenu dans ta réponse en pièce-jointe.

@+

[tonito77]

Merci de votre réponse.
J'ai effectué les actions demandées et je joins les fichiers correspondants.
Merci pour ces indications claires et pour votre aide.
Bonne Soirée
Tonito

[Lyonnais92]

Re,

Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

Code:

O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At1.job
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At10.job
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At11.job
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At12.job
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At13.job
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At14.job
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At15.job
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At16.job
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At17.job
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At18.job
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At19.job
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At2.job
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At20.job
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At21.job
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At22.job
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At23.job
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At24.job
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At3.job
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At4.job
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At5.job
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At6.job
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At7.job
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At8.job
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\At9.job
[HKCU\Software\PriceGong]
O43 - CFD: 29/04/2012 - 22:29:50 - [5,533] ----D C:\Documents and Settings\HP_Propriétaire\Application Data\PriceGong

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

===

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

===

Télécharge JavaRa.zip de Paul McLain et Fred de Vries.

* Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
* Double-clique sur le répertoire JavaRa.
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
* Choisis Français puis clique sur Select.
* Clique sur Recherche de mises à jour.
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l'application.

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.

@+

[tonito77]

Bonsoir,
Voici le résultat ( en pièces jointes ) des manips que vous m'avez demandé d'effectuer, j'espère avoir correctement suvi la procédure.
Merci encore de votre aide et pour vos instructions claires et précises

[Lyonnais92]

Bonsoir,

fais redémarrer l'ordi, relance ZHPDiag et poste le rapport.

@+

[tonito77]

Bonsoir,

Voici de nouveau un rapport de ZHPdiag, pour info AVG m'a de nouveau détecté le cheval de troie crypt.AQLW ( 2 fois ce soir ).

[Lyonnais92]

Bonsoir,

il te le trouve toujours dans la restauration système ?

On va prendre un point propre.

Ouvre ce lien : Restauration du système

dans un premier temps tu le suis pour désactiver la restauration système.

Tu fermes la fenêtre.

Dans un deuxième temps, tu le suis pour réactiver la restauration.

Ceci recréé automatiquement un point de restauration daté de l"heure de la réactivation.

===

Ouvre Spybot search and destroy.

clique sur mode, choisis advanced mode;

dans la colonne de gauche clique sur le + devant tools.

clique sur résident (colonne de gauche)

dans la fenêtre de droite décoche la case devant "resident tea-timer"


Désinstalle Spybot S&D via le panneau de configuration, il va gêner la désinfection.

Supprime aussi le répertoire C:\Program Files\Spybot - Search & Destroy

===

Désinstalle par le Panneau de configuration

Ask Toolbar Updater -

Ask Toolbar

===

Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

Code:

[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
O16 - DPF: {104B0A37-AB99-4F06-8032-8BBDC3B77DDB} (Telechargement Control) - http://www4.photoweb.fr/telechargement/Photoweb_uploader.cab
R1 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr
O4 - HKLM\..\Run: [StandardInstall] Clé orpheline
O4 - HKLM\..\Run: [hpqSRMon] Clé orpheline
O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\34686838.sys . (...) -- C:\WINDOWS\system32\Drivers\34686838.sys (.not file.)
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\34686838.sys . (...) -- C:\WINDOWS\system32\Drivers\34686838.sys (.not file.)
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

@+

[tonito77]

Bonsoir,

Manips concernant la restauration du système effectuées, supression de Spybot également, désinstallation d'Ask Toolbar Updater et d'Ask Toolbar également, le code a bien été copié dans la fenêtre de ZHPfix.exe.

Voici donc comme convenu, le nouveau rapport ( en pièce jointe ) de ZHPFix.exe

@+

[Lyonnais92]

Bonjour,

tu fais redémarrer l'ordi, tu relances ZHPDiag et tu postes le rapport.

Encore des alertes ?

@+

[tonito77]

Bonjour,
Voici le nouveau Rapport ZHPDiag.
Pour le moment, ce matin, pas de nouvelle alerte de la part d'AVG, pourvu que ça dure...

à bientôt

[Lyonnais92]

Re,

relance ZHPFix avec ces lignes :

Code:

[HKCU\Software\Freecorder]  
[HKLM\Software\Freecorder]   
O43 - CFD: 16/01/2012 - 18:52:13 - [16,918] ----D C:\Program Files\Freecorder   
O43 - CFD: 29/04/2012 - 12:53:03 - [12,171] ----D C:\Documents and Settings\HP_Propriétaire\Local Settings\Application Data\Freecorder  
O43 - CFD: 22/02/2010 - 15:47:48 - [0,012] ----D C:\Documents and Settings\HP_Propriétaire\Menu Démarrer\Programmes\Freecorder  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1392B8D2-5C05-419F-A8F6-B9F15A596612}]  
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1392B8D2-5C05-419F-A8F6-B9F15A596612}]  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}]  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}]  
[HKLM\Software\Classes\CLSID\{ea551c00-2ae5-11d3-8592-00a0c98e9ea4}]  
[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{D4027C7F-154A-4066-A1AD-4243D8127440}  
C:\Program Files\Freecorder    
C:\Documents and Settings\HP_Propriétaire\Local Settings\Application Data\Freecorder
O51 - MPSK:{489d91e2-5431-11df-8b52-0002e34379f9}\AutoRun\command - Clé orpheline
EmptyTemp

===

Désinstalle (avec le Panneau de configuration) :

J2SE Runtime Environment 5.0 Update 10
J2SE Runtime Environment 5.0 Update 6
Java 6 Update 2 - (.Sun Microsystems, Inc..)
Java 6 Update 3 - (.Sun Microsystems, Inc..)
Java 6 Update 5 - (.Sun Microsystems, Inc..)
Java 6 Update 7 - (.Sun Microsystems, Inc..)
Java SE Runtime Environment 6 Update 1

===

Mets à jour Adobe reader :

http://www.commentcamarche.net/downl...7-adobe-reader

===

Quand tout est fait, fais redémarrer l'ordi, relance ZHPDiag et poste le rapport.

@+

[tonito77]

Bonjour,
Excusez moi pour le délai de ma réponse, je n'ai pas eu beaucoup de temps pour m'occuper de mon pc cette semaine, j'espère que la discussion est toujours valable.

Les manips demandées dans votre dernière réponse ont été effectuées et je vous poste à nouveau un rapport ZHPDiag.

Pour information, Je n'ai plus de message d'alerte d'AVG concernant ce fameux crypt.AQLW, tout semble correctement fonctionner...

Merci et Bonne Journée

[Lyonnais92]

Bonsoir,

désinstalle Java 6 Update 7

Supprime : C:\Program Files\Freecorder


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage.

@+