virus crypt.ZPACK.gen

[inviteb7a9f3ef]

Bonjour,

Depuis quelques jours, mon pc rame beaucoup, sur mon navigateur quand je scroll, la page descend par à coup, je ne peux plus accéder à un de mes disques durs (D:\) en double cliquant sur l'icône (je dois entrer le chemin du dossier directement dans la barre d'adresse du poste de travail), une entrée s'est ajoutée à ma liste de programmes de démarrage de l'utilitaire de configuration système (C:\DOCUME~1\TOUS\LOCALS~1\Tem p\herss.exe) et même si je la désactive pour le démarrage suivant, une nouvelle se crée et s'active etc...
En faisant un scan en ligne avec Kaspersky, il m'a détecté plusieurs infections, que AVG ne "voyait" pas. J'ai donc installé Antivir à la place et depuis, dès que je clique quelque part, l'antivirus déclenche une alerte infection pour un cheval de troie.

J'ai effectué la procédure avec RSIT et je vous poste les fichiers qui ont été publiés.

Nous somme plusieurs à utiliser ce pc donc je ne sais pas ce qui a causé cette infection
Pensez-vous qu'il soit possible de l'éradiquer ?

Je vous remercie par avance pour votre réponse
-----

[b marlow]

Salut,
Télécharge et installe >UsbFix< de C_XX & Chiquitine29

Branche tes sources de données externes à ton PC : clé USB, disque dur externe,etc
susceptible d'avoir été infectés mais sans les ouvrir

- Double clique sur le raccourci UsbFix présent sur ton bureau .
- Choisis l'option 2 (Suppression)
- Ton bureau va disparaitre et le pc redémarrera,c'est normal.
- Au redémarrage ,UsbFix scannera ton pc,laisse-le travailler.
- A la fin poste le rapport UsbFix.txt qui apparaitra.

- Note : Le rapport UsbFix.txt est en outre sauvegardé a la racine du disque.( C:\UsbFix.txt )

- Note : "Process.exe", un composant de l'outil,est détecté par certains antivirus
(AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus,mais d'un utilitaire destiné à mettre fin à des processus.



edit: supprime par le Panneau ajout-Suppr des programmes:

Kiwee Toolbar

[inviteb7a9f3ef]

Bonjour,
tout d'abord, je vous remercie pour votre aide.

J'ai effectué le scan UsbFix dont le rapport se trouve ci-dessous.
Il n'y a pas de disque dur externe ou clé usb branchés habituellement à ce pc.

En ce qui concerne la kiwee toolbar, justement c'est un probleme. Je n'arrive pas à la désinstaller. Ni par le panneau de configuration, ni avec ccleaner, ni avec regcleaner. Soit le bouton pour la désinstallation est grisé donc non cliquable, soit le fait de cliquer dessus ne change rien.

Merci

[b marlow]

télécharge Toolbar-S&D (Team IDN) sur ton Bureau.

< Ferme tes navigateurs >

* Lance l'installation du programme téléchargé.
* Double-clique sur le raccourci de Toolbar-S&D.
* Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
Choisis maintenant l'option 2 (Suppression). Patiente jusqu'à la fin de la recherche.
! Ne ferme pas la fenêtre lors de la suppression !

NOTE : Si ton Bureau ne réapparait pas, appuie simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches.
Rends-toi sur l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter..."
Tape explorer puis valide.

Poste le rapport final.

[A voir en vidéo sur Futura]

[inviteb7a9f3ef]

Ah, enfin débarassée de la kiwee toolbar !

[b marlow]

relance RSIT puis poste un nouveau rapport log.txt pour contrôle.

[inviteb7a9f3ef]

Voilà pour RSIT

[inviteb7a9f3ef]

ah je viens de lancer Spybot et il détecte le trojan "Win32.Rungbu.a" dans clé du registre que j'ai supprimé à la fin du scan. Est ce normal ?

[b marlow]

Que Spybot fasse son travail c'est bien, il n'y a rien d'anormal à ce qu'il trouve un restant de clé infectieuses.

Rends-toi dans le répertoire et double-clique sur C:\Program Files\trend micro\TOUS.exe
à l'ouverture du programme (HijackThis) clique sur Do a system scan only
coche les lignes suivantes, ferme le navigateur, puis clique sur fixchecked:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolb...lerControl.cab

Ensuite ceci supprimera les tools de nettoyage utilisé pour la désinfection:
Télécharge ToolsCleaner (A.Rothstein et dj QUIOU)
Enregistre-le sur ton Bureau
Clique sur Recherche et laisse le scan se terminer.
Clique sur Suppression pour finaliser.
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste le rapport C:\TCleaner.txt


Mettre à jour aussi ta machine Java, pour ce faire:
Télécharge JavaRa.zip
décompresse-le sur le Bureau (clic droit > Extraire tout).
double-clique sur javaRa.exe et choisis de le mettre en français.
cherche la mise à jour.fais-la.à la fin opère au nettoyage.
ferme tes navigateurs pour le nettoyage des vieilles versions.


Un compte limité accroit la sécurité

Les mises à jour des programmes aussi

[inviteb7a9f3ef]

je n'ai plus de trace de virus apparemment.

J'ai effectué toutes les manipulations énoncées dans le post précédent. Il n'y a eu aucun problème. Par contre, en utilisant JavaRa, il m'indique que le java installé sur le pc est déjà actualisé.

Je vous remercie beaucoup pour cette aide, sans quoi je n'aurais pas pu désinfecter le pc toute seule

[b marlow]

tu peux vérifier ta version de java ici si tu veux:
http://www.java.com/fr/download/installed.jsp

[inviteb7a9f3ef]

J'ai à nouveau vérifié la version de Java avec le lien que vous venez de m'envoyer.

Voilà le résultat :

Version de Java vérifiée
Félicitations !
Vous disposez de la version Java recommandée (Version 6 Update 15).

Apparemment ma version est à jour.
Y avait -il un problème ?
Merci

[b marlow]

ton java doit s'être mis à jour par l'entremise du module intégré de maj.