virus win32/cryptor

[invite1142a63d]

bonjour a tous ,

suit infectés depuis aujourd'hui d'un virus win32/cryptor, j'ai suivit la procedure je vous poste en piece jointes les fichiers.
d'avance merci de votre aide,

cordialement,

louchas
-----

[invitec04351b8]

Bonjour,

c'est quoi les soucis ? (des fichiers sont illisibles, disparus, ...)

===

Double clique sur C:\Program Files\trend micro\louchas.exe

Choisis Open the misc tools section.

Choisis Open Process manager.

Clique sur C:\Program Files\FREEzeFrog\bin\1.0.670.0 \FREEzeFrogSA.exe pour le mettre en surbrillance.

Clique sur Kill process.

Reviens sur l'écran principal

Choisis Do a scan only

Coche la case devant les lignes suivantes

O4 - HKLM\..\Run: [FREEzeFrogSA] "C:\Program Files\FREEzeFrog\bin\1.0.670.0 \FREEzeFrogSA.exe"

Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.

Clique sur fix checked.

Ferme "Hijackthis" (il a été renommé).

@+

[invite1142a63d]

bonjour lyonnais92,

les problemes : internet rame depuis quelques jours sans que je trouve d'explication et aujourd'hui avg m'annonce la presence de plusieurs fichiers infestés sous le nom de win32/cryptor alors plutot prevenir que guerir je suis venu sur ce forum et j'ai suivi la procedure pour demander de l'aide voila
en tout cas merci de ta reponse .
a quoi sert la procedure que tu me decris?
cordialement,

louchas

[invitec04351b8]

Re,

la procédure permet de stopper et supprimer un malware.

Je pourrai avoir le rapport de AVG (pour voir quel type de fichiers sont touchés) ?

@+

[A voir en vidéo sur Futura]

[invite1142a63d]

re,

ci joint le rapport du bouclier resident si il te faut autre chose n'hesites pas

merci

louchas

[invitec04351b8]

Re,

il manque le rapport.

@+

[invite1142a63d]

desolé je n'arrive pas a le poster il me dis fichiers non valide

[invite1142a63d]

voila une copie d'ecran j'espere que ca ira

@+

louchas

[invitec04351b8]

Re,

on va procéder autrement.

Télécharge ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

Double clique sur le raccourci ZHPDiag sur ton Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt) avec le Bloc-Notes et copie son contenu dans ta réponse en pièce-jointe.

@+

[invite1142a63d]

re,

l'analyse de ZHPdiag bloque a 85% il me dis argument incorrect pour l'encodage de date

@+

[invitec04351b8]

Re,

tu relances ZHPDiag, tu cliques sur le tournevis et tu décoches la case devant la ligne O85 (Recherche d'infection par le ver koobface).

Tu cliques sur la loupe pour lancer l'analyse et tu postes le rapport.

@+

[invite1142a63d]

bonjour,

j'ai cliqué sur le tournevis, decoché la case 085 et relancé l'analyse mais ca bloque encore a 85%

@+

louchas

[invitec04351b8]

Re,

décoche aussi la case au-dessus et la case en dessous.

@+

[invite1142a63d]

bonjour,

j'ai bien decoché la case en dessous et au dessus mais ca bloque encore a 85% ,en fait il passe a 88% se bloque revient a 85% et m'affiche "argument incorrect pour l'encodage de date"
desolé de t'embeter et merci d'aider un novice

@+ louchas

[invitec04351b8]

Bonjour,

décoche tout ce qu'il y a en dessous de O84.

Si ça ne fonctionne toujours pas, essaye en mode sans échec.

@+

[invite1142a63d]

re,

je viens de tout decocher en dessous de 084 je bloque toujours au meme endroit ,j'ai essayé en mode sans echec resultat idem, il passe a 88% revient a 85% et me dis "argument incorrect pour l'encodage de date.
c'est galere un peu,en plus depuis aujourd'hui il me dis que j'ai des fichiers manquants au demarrage de windows.
j'espere que c'est pas trop grave docteur

@ louchas

[invitec04351b8]

Bonjour,

désinstalle AxBx MultiVirusCleaner010 et Firefox (pour lui, mets IE en navigateur par défaut pour récupérer tes favoris et pense à noter tes mots de passe préenregistrés)

refais tourner AVG.

Résinstalle tous les logiciels qu'il te trouve infecté.

Refais encore tourner AVG et mets moi le rapport en miniature comme tu as fait.

@+

[invite1142a63d]

bonjour,

j'ai desinstallé mozillafirefox et multivirus cleaner j'ai relancé avg et il ne trouve plus rien!!!!
j'ai lancé un scan avec trojankiller qui lui trouve des fichiers infectés je te mets le rapport

voici les messages que j'ai desormais au demarrage de windows:
C:\users\louchas\cload7A.dll
module specifié introuvable

C:\users\louchas\appdata\roami ng\micros~1\windows\startm~1\p rograms\stratup\scanhd~1.dll
module specifié introuvable

C:\users\system32\cload7A.dll
module specifié introuvable

voila en gros c hiroshima dans mon pc lol

merci pour ton aide

PS:je te joins un imprim ecran sur paint du scan desolé

@+ louchas

[invitec04351b8]

Bonsoir,

trojankiller ?

Fais ceci :

Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).[list]

• Lance MBAM et sélectionne "Exécuter un examen rapide". Patiente le temps du scan.
• Une fois le scan terminé,clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

@+

[invite1142a63d]

re,

j'ai suivi ta procedure je te joins le rapport

cordialement,

louchas

[invitec04351b8]

Bonjour,

MBAm a bien travaillé.

Tu fais redémarré l'ordi et tu relances ZHPDiag.

Tu postes le rapport.

Je le verrai vendredi.

Tu me dis si il te reste des soucis.

@+

[invite1142a63d]

re,

j'ai redemarré relancé zhpdiag qui bloque toujours a 85% ensuite j'ai decoché les cases en dessous de 84 et relancé toujours pareil bloqué a 85%
erreur pour l'encodage de date

@+

louchas

[invitec04351b8]

Bonsoir,

On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

http://www.bleepingcomputer.com/comb...liser-combofix


* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.

@+

[invite1142a63d]

re,

j'ai lancé combofix après avoir désactivé tout les antivirus et par feu et voici le rapport

@+ louchas

[invitec04351b8]

Bonsoir,

relance ZHPDiag.

Clique sur la flèche verte et accepte le téléchargement et l'installation de la dernière version.

Relance la dernière version et poste le rapport.

@+

[invite1142a63d]

re,

je viens de mettre ajour zhpdiag et je l'ai relancé mais il bloque toujours sur 85% avec toujours "argument incorrect pour l'encodage de date

@+

louchas

[invitec04351b8]

Re,

relance ZHPDiag, clique sur le tournevis, clique sur Aucun puis lance l'analyse avec la loupe.

Poste le rapport.


Si ça ne veut toujours pas passer, relance RSIT et poste le rapport.

@+

[invite1142a63d]

re,

en cochant aucun ca a fonctionné voila le rapport

@+ louchas

[invitec04351b8]

Re,

Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

Code:

M3 - MFPP: Plugins - [louchas] -- C:\Users\louchas\AppData\Roaming\Mozilla\Firefox\Profiles\d88vmy5m.default\searchplugins\SweetIM Search.xml
M3 - MFPP: Plugins - [louchas] -- C:\Users\louchas\AppData\Roaming\Mozilla\Firefox\Profiles\d88vmy5m.default\searchplugins\sweetim.xml
M0 - MFSP: prefs.js [louchas - d88vmy5m.default] http://home.sweetim.com
M2 - MFEP: prefs.js [louchas - d88vmy5m.default\{EEE6C361-6118-11DC-9C72-001320C79847}] [] SweetIM Toolbar for Firefox v1.2.0.2 (.SweetIM Technologies LTD..)
G1 - GCS: Preference [User Data\Default] http://search.sweetim.com
G0 - GCSP: Preference [User Data\Default][HomePage] http://home.sweetim.com
O4 - HKLM\..\Run: [UpdatePSTShortCut] Clé orpheline

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

===

Mets à jour Windows.

Relance ZHPDiag avec toutes les options cochées.

@+

[invite1142a63d]

re,

voici le rapport:

#########


End of the scan in 00mn 03s


je vais mettre a jour windows et relancer zhpdiag

@+