Infecté par TR/Rootkit.Gen

Infecté par TR/Rootkit.Gen - Virus/Spywares - Windows & Software

Marsh Posté le 30-09-2010 à 11:07:27    

Bonjour,
 
Avira me détecte le trojan TR/Crypt.XPACK.Gen mais n'arrive pas a l'éradiquer, puis a chaque fois que j'ouvre IE8 aussitôt il y a une autre page qui s'ouvre avec une pub ou bien une page avec un scan en ligne avec de nombreux faux virus.
 
Le virus est dans le dossier C\Windows\System32. merci de votre aide.
 
 
Amicalement
epritt_kola.


Message édité par epritt_kola le 06-10-2010 à 16:37:47
Reply

Marsh Posté le 30-09-2010 à 11:07:27   

Reply

Marsh Posté le 30-09-2010 à 23:53:07    

Bonsoir,
 
 
Bienvenue sur Hardware.fr !
Nous allons essayer de régler ton problème ensemble. D'abord, quelques rappels :
 
- N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
- N'hésite pas à poser des questions en cas de besoin ;)
- Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne ;)
- La désinfection (si nécessaire) va se dérouler en plusieurs étapes. Même si les symptômes de l'infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu'au bout, sinon ce qu'on a fait n'aura servi à rien.
 
 
Commence par utiliser ce logiciel de diagnostic stp, ça me permettra de t'aider :
 
• Télécharge ZHPDiag (de Nicolas Coolman)
• Laisse toi guider lors de l'installation
• Il se lancera automatiquement à la fin de l'installation
• Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
Ne poste pas le rapport directement (une règle de ce forum l'interdit) : héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
 
 
Quel est le nom du fichier détecté ?

Reply

Marsh Posté le 01-10-2010 à 09:10:36    

Bonjour,
 
Je n'arrive pas a poster le rapport sur le site, Firfox me dit "The connection was reset" a chaque fois que j'appuis sur "Cliquez ici pour déposer votre fichier"
 
Le rapport se trouve sur mon bureau.

Reply

Marsh Posté le 01-10-2010 à 18:50:29    

Fais un clic-droit sur le rapport --> envoyer vers --> dossier compressé.
Héberge ce dossier compressé sur cijoint.fr, ça devrait passer ;)

 

Tu as oublié de répondre à cette question : Quel est le nom du fichier détecté ?


Message édité par Profil supprimé le 01-10-2010 à 18:50:44
Reply

Marsh Posté le 01-10-2010 à 20:50:31    

J'ai compressé le rapport ouf c'est ok, decidemment on apprend tous les jours.
 
Le nom du fichier est TR/Crypt.XPACK.Gen il mute aussi en TR/Crypt.XPACK.Gen1 - TR/Crypt.XPACK.Gen2 etc.
 
Aussi un Scan avec AntiVir me trouve le cheval de Troie TR/Drooper.Gen
dans le C\Windows\System32\CTXFIHLP.EXE impossible de le supprimer déplacer en quarantaine.
 
IE9 et Opera ne se lance une fois sur deux sans raison mais Firefox marche toujours.
 
Voici le lien; http://www.cijoint.fr/cjlink.php?f [...] bRLpen.zip

Message cité 1 fois
Message édité par epritt_kola le 01-10-2010 à 21:06:18
Reply

Marsh Posté le 02-10-2010 à 01:39:12    

epritt_kola a écrit :

Le nom du fichier est TR/Crypt.XPACK.Gen il mute aussi en TR/Crypt.XPACK.Gen1 - TR/Crypt.XPACK.Gen2 etc.


Ce n'est pas le nom du fichier, c'est juste le nom que donne AntiVir à l'infection. Quel est le nom du fichier ?
 
 
Fais cette analyse stp :
 
• Rends toi sur le site http://www.virustotal.com/fr/
• Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide : C:\Windows\System32\CTXFIHLP.EXE
• Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse.
• Fais un copier/coller du rapport sur le forum.
 
Si tu ne trouves pas le fichier, fais ceci :
• Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
• Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
• Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.
 
 
 
Ensuite, utilise ce logiciel de désinfection généraliste stp :
 
• Télécharge et installe Malwarebytes' Anti-Malware
• A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
• Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
• Sélectionne tes disques durs" puis clique sur "Lancer l’examen"  
• A la fin de l'analyse, clique sur Afficher les résultats
• Coche tous les éléments  détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
• Poste dans ta prochaine réponse le rapport apparaissant après la suppression stp


Message édité par Profil supprimé le 02-10-2010 à 01:39:44
Reply

Marsh Posté le 02-10-2010 à 10:25:10    

Le nom du fichier avec Process Explorer c'est
 
CTXFIHLP .exe  de Creative Technology Ltd, ne comprend pas certain services de ma carte Audio Auzen Xfi Forte 7.1 serait-il des Trojan ?  
 
 
 
Analyse avec VirusTotal
 
File name:             CTXFIHLP .exe
Submission date:   2010-10-02 06:34:18 (UTC)
Current status:      finished
Result:                  0/ 43 (0.0%)
 
File name:             caSX30t3.exe
Submission date:   2010-10-02 06:43:42 (UTC)
Current status:      finished
Result:                  24/ 39 (61.5%)
 
AhnLab-V3 2010.10.02.00 2010.10.01 Win-Trojan/Seint.72706.D
AntiVir 7.10.12.111 2010.10.01 TR/Dropper.Gen
Antiy-AVL 2.0.3.7 2010.10.02 -
Authentium 5.2.0.5 2010.10.01 -
Avast 4.8.1351.0 2010.10.01 Win32:Malware-gen
Avast5 5.0.594.0 2010.10.01 Win32:Malware-gen
AVG 9.0.0.851 2010.10.01 Generic19.AGZP
CAT-QuickHeal 11.00 2010.10.01 -
ClamAV 0.96.2.0-git 2010.10.02 -
Comodo 6260 2010.10.01 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.2.03300 2010.10.02 Win32.HLLC.Asdas.7
Emsisoft 5.0.0.50 2010.10.02 Trojan.Win32.Powp!A2
eSafe 7.0.17.0 2010.09.30 -
eTrust-Vet 36.1.7888 2010.10.01 -
F-Prot 4.6.2.117 2010.10.01 -
F-Secure 9.0.15370.0 2010.10.02 Gen:Trojan.Heur.FU.eqX@aqBCtuj
Fortinet 4.1.143.0 2010.09.30 -
Ikarus T3.1.1.90.0 2010.10.02 -
Jiangmin 13.0.900 2010.10.01 -
K7AntiVirus 9.63.2657 2010.10.01 Trojan
Kaspersky 7.0.0.125 2010.10.02 Trojan.Win32.Powp.gen
McAfee 5.400.0.1158 2010.10.02 Downloader-CIS
McAfee-GW-Edition 2010.1C 2010.10.01 Downloader-CIS
Microsoft 1.6201 2010.10.02 VirTool:Win32/CeeInject.gen!J
NOD32 5496 2010.10.01 -
Norman 6.06.07 2010.10.01 -
Panda 10.0.2.7 2010.10.01 Trj/CI.A
PCTools 7.0.3.5 2010.10.02 Malware.Unruy
Prevx 3.0 2010.10.02 -
Rising 22.67.02.07 2010.09.30 -
Sophos 4.58.0 2010.10.02 Troj/Agent-ORV
Sunbelt 6962 2010.10.02 Trojan.Win32.Powp.gen (v)
SUPERAntiSpyware 4.40.0.1006 2010.10.02 Trojan.Agent/Gen
Symantec 20101.2.0.161 2010.10.02 W32.Unruy!gen2
TheHacker 6.7.0.1.045 2010.10.02 Trojan/Powp.gen
TrendMicro-HouseCall 9.120.0.1004 2010.10.02 TROJ_UNRUY.SMEP
VBA32 3.12.14.1 2010.10.01 SScope.Injector.MY
ViRobot 2010.8.31.4017 2010.10.02 -
VirusBuster 12.66.10.0 2010.10.01 Trojan.Powp.Gen
Additional information
MD5   : e93e2c8a13e0b049d347ef875df90137
SHA1  : a8e9ae5b7e6a5db5eaab329bc69dbfe70c083aaf
SHA256: 49293f27952151acca878a76b252744a389125f28b2f8e2194f854fceb07dc7d
 
 
Rapport de Malwarebytes ;  
 
http://www.cijoint.fr/cjlink.php?f [...] gQA4Cz.zip


Message édité par epritt_kola le 02-10-2010 à 12:53:11
Reply

Marsh Posté le 03-10-2010 à 14:57:44    

Il sort d'où ce fichier "caSX30t3" que tu as analysé ? Il est aussi dans ce dossier : C:\Windows\System32 ?
 
 
Attention : Le logiciel qui suit peut faire des dégâts en cas de mauvaise utilisation ! Désactive tous tes logiciels de protection avant de l'utiliser.
 
• Télécharge ComboFix (de sUBs) sur ton Bureau.
• Double-clique sur ComboFix.exe afin de le lancer.
• Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.
• Ne touche à rien pendant le scan.
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.
 
Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/co [...] r-combofix

Reply

Marsh Posté le 03-10-2010 à 16:34:45    

Il sort d'où ce fichier "caSX30t3" que tu as analysé ?
 
AppCrash_caSX30t3.exe_354ef39c48480d8728ce3fb8a7ca636e621fc_074e5541                                    
C:\ProgramData\Microsoft\Windows\WER\ReportArchive.
 
 
ComboFix premier démarrage écran bleu sur fond noir une ligne qui scintille pendant plus d'une heure pas de réaction, puis redémarrage en mode sans échec, la il commence a parler et me dit que j'ai chopé un solide Rootkit et qu'il dois aussitôt redémarrer et que je doit toucher a rien, il a passé tout les étapes.
 
ComboFix Txt; http://www.cijoint.fr/cjlink.php?f [...] 24SIAB.zip


Message édité par epritt_kola le 03-10-2010 à 22:06:59
Reply

Marsh Posté le 04-10-2010 à 03:05:21    

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour epritt_kola, il n'est pas transposable sur un autre ordinateur !
 
• Télécharge ce dossier epritt_kola.zip  
• Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination  
• Un autre dossier va apparaitre, prends le fichier CFScript.txt qui se trouve à l'intérieur et place le sur le Bureau.  
 
• Désactive tes logiciels de protection  
• Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe
• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.  
• Si le fichier ne s'ouvre pas, il se trouve ici → C:\ComboFix.txt

Reply

Marsh Posté le 04-10-2010 à 03:05:21   

Reply

Marsh Posté le 04-10-2010 à 07:25:19    

Reply

Marsh Posté le 04-10-2010 à 15:40:45    

Alors, il y avait deux infections : un "rootkit" assez récent que Combofix a supprimé automatiquement et une autre infection qui infecte des fichiers légitimes. Ici, ce sont ces deux fichiers qui sont touchés :
c:\program files\COMODO\COMODO Internet Security\cfp.exe
c:\windows\System32\CTXFIHLP.exe
 
Combofix a pu restaurer le second à l'aide du script, mais il n'a apparemment rien fait pour le premier... Il faudrait que tu désinstalles Comodo (tu pourras le remettre à la fin si tu le souhaites) puis que tu supprimes tout le dossier c:\program files\COMODO.
Ensuite, poste un nouveau rapport de Combofix. Si tu n'arrives pas à supprimer le dossier, dis le moi.

Reply

Marsh Posté le 04-10-2010 à 18:43:48    

Reply

Marsh Posté le 05-10-2010 à 11:01:19    

Bien :)
 
• Double clique sur l'icone d'AntiVir près de l'horloge --> configuration --> coche "Mode expert" --> coche "Rech rootkits au dem de la recherche" --> clique sur OK
• Mets à jour AntiVir manuellement : fais un clic droit sur l'icone d'AntiVir près de l'horloge et clique sur "Démarrer la mise à jour"
• Double clique sur l'icone d'AntiVir près de l'horloge --> clique sur "Contrôler syst maintenant" pour lancer l'analyse.
• A la fin du scan, clique sur "Rapport" et envoie le moi dans ta prochaine réponse.
 
 
Envoie également un nouveau rapport ZHPDiag stp

Reply

Marsh Posté le 05-10-2010 à 15:03:40    

Resultat positif 2, TR/Rootkit.Gen3  
 
 
- Recherche rootkits ok
- Mise à jour ok
- Scan en mode sans échec avec le troisième Level ok
 
Rapport Antivir;  
http://www.cijoint.fr/cjlink.php?f [...] PcxaHG.zip
 
 
Scan ComboFix en mode sans échec rapport;
 http://www.cijoint.fr/cjlink.php?f [...] SMAsV1.zip
 
 
(^j+)7


Message édité par epritt_kola le 05-10-2010 à 15:26:39
Reply

Marsh Posté le 05-10-2010 à 18:29:54    

Parfait. L'un des fichiers détectés par AntiVir est une sauvegarde du fichier système infecté, l'autre était dans la quarantaine de Combofix. Il n'y avait donc plus d'infection active ;)

 

Fais redémarrer ton ordinateur en mode normal et poste un dernier rapport ZHPDiag (et non Combofix), on va pouvoir passer à la finition :)


Message édité par Profil supprimé le 05-10-2010 à 18:30:04
Reply

Marsh Posté le 05-10-2010 à 18:51:30    

Reply

Marsh Posté le 06-10-2010 à 12:49:00    

Ce script va cibler certains éléments à supprimer :
 
• Ouvre ce lien, sélectionne le script en entier et copie le (Edition --> Copier)
• Fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur"
• Clique sur l'icone représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix.
• Clique sur « Tous », puis sur « Nettoyer »
• Copie/colle la totalité du rapport dans ta prochaine réponse.
 
 
 
Après ça, ton ordinateur n'est plus infecté, il ne te reste qu'à suivre ces conseils de finition :
 
 
1) Sécurise ton ordinateur
 
• Logiciels de protection :
Garde un antivirus (AntiVir dans ton cas) et en complément, garde MalwareBytes Anti-Malware pour faire des scans de vérification de temps en temps.
 
• Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille vivement d’utiliser Firefox avec les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.
 
• Tu as une ancienne version de Java qui n'est pas à jour, c'est une faille de sécurité. Il faut désinstaller l'ancienne version (Java 6 Update 20).
 
• Pour les mêmes raisons, mets à jour Flash Player : Ferme ton navigateur, puis désinstalle Adobe Flash Player 10 ActiveX et Adobe Flash Player 10 Plugin. Ensuite, utilise ces deux liens pour installer la dernière version : Celui-ci pour l'ActiveX et celui-ci pour le plugin.
 
• Pour vérifier régulièrement que tous tes programmes sont bien à jour, tu peux t'aider de ce petit programme (décoche « run at startup » lors de l'installation) : Update Checker (attention, les liens proposés ne correspondent pas toujours à la version française des programmes, il faut parfois les chercher manuellement)
 
• Vaccine tes disques amovibles à l'aide de USBFix (de Chiquitine29 et C_XX) → lance l'installation avec les paramètres par défaut → Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3, appareils photos numériques etc...) sans les ouvrir → Fais un clic droit sur le raccourci de USBFix et choisis 'Exécuter en tant qu'administrateur' → Au menu principal, choisis l'option 3 (Vaccination).
 
 
 
2) Optimisation :  
 
* Télécharge Ccleaner. Installe le et lance le. Clique sur Nettoyeur --> Analyse --> Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Enfin, Registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.
 
* Pour limiter le nombre de programmes qui se lancent automatiquement au démarrage, clique sur Outils --> Démarrage --> Sélectionne les lignes suivantes et clique sur "Désactiver" : UpdReg / StartCCC / QuickTime Task / iTunesHelper / DivXUpdate / CtxfiHlp / ATICustomerCare.
 
* Télécharge ce fichier --> lance le --> accepte la modification du Registre.
 
* Télécharge Defraggler. Installe le (décoche l'installation de la barre d'outil Yahoo qui est proposée lors de l'installation) puis lance le. Ferme tous tes autres programmes, sélectionne ton disque dur et clique sur "Défragmentation rapide".
 
 
 
3) Il faut supprimer tous les outils que nous avons utilisés : Lance ZHPFix (pour ça, fais un clic-droit dessus et choisis « Exécuter en temps qu'administrateur ») → clique sur le « A » rouge (Nettoyeur de Tools) → clique sur « Nettoyer »
Tutoriel pour t'aider
 
 
 
4) Pour finir le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés) : pour ça, suis ce tutoriel stp.
 
 
 
5) Prévention : Je te conseille vivement de lire cet article qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet
 
 
 
6) Précautions Pour finir, je t'invite à changer tous tes mots de passe importants (banque, ebay, paypal...), car certaines infections les récupèrent... De même, fais régulièrement une sauvegarde de tes documents importants sur un support externe (disque dur externe, CD/DVD réinscriptible...)  
Ici, nous avons pu désinfecter ton ordinateur, mais ce n'est pas toujours le cas. Certaines infections cryptent les documents et demandent une rançon pour les récupérer, d'autres les modifient pour diffuser des infections, obligeant donc à les effacer... Il faut donc toujours avoir une sauvegarde saine de tes documents, sinon tu risques de les perdre.  
 
 
 
 
Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)

Reply

Marsh Posté le 06-10-2010 à 15:20:32    

Avec mon naviguateur Firefox j'ai,
 
.AdBlockPlus
.WOT
.NoScript (NoScript est-il nécessaire ou il vas allourdir mon navigateur)
 
Mise a jour de Java flash et plugin ok
Update checker installer ok
Désactivation de programmes inutiles au démarrage de Windows 7 ok
Je n'ai pas installer Defraggler j'ai Smart defrag d'IObit
Analyse Ccleaner ok
Fichier de registre ok
purge du restauration du système ok
création de restauration système vierge ok
 
 
Rapport ZHPFix;
http://www.cijoint.fr/cjlink.php?f [...] And98e.zip
 
Ce qui vas être le plus difficile a mon avis, c'est les changement des passes Hotmail, PayPal etc. j'ai l'habitude depuis des années avec les même passes.
 
Il y a du changement depuis, mon Pc est plus réactif au redémarrage de Windows (j'avais souvent un écran noir avant sans motif), les programmes sont plus dinamique et tous mes navigateur s'ouvre maintenant sans exception, je n'ai plus de crash (avant mes navigateur ne voulait plus se lancer ou bien il se lancaient mais dans Process explorer seulement).
C'est plutôt flagrant que deux ou trois petit nuisible plombe à se point un Système!

Message cité 1 fois
Message édité par epritt_kola le 07-10-2010 à 10:18:29
Reply

Marsh Posté le 07-10-2010 à 01:40:21    

epritt_kola a écrit :

.NoScript (NoScript est-il nécessaire ou il vas allourdir mon navigateur)


Je ne le propose pas parce que la plupart des personnes que j'aide seraient agacées de devoir autoriser manuellement différents sites, mais personnellement je l'utilise. S'il ne te dérange pas, tu peux effectivement le garder ;)
 
 

epritt_kola a écrit :

Il y du changement depuis, mon Pc est plus réactif au redémarrage de Windows (j'avais souvent un écran noir avant sans motif), les programmes sont plus dinamique et tous mes navigateur s'ouvre maintenant sans exception, je n'ai plus de crash (avant mes navigateur ne voulait plus se lancer ou bien il se lancaient mais dans Process explorer seulement). C'est plutôt flagrant que deux ou trois petit nuisible plombe à se point un Système!


Justement, ce n'était pas des petits nuisibles dans ton cas. L'infection qui a été supprimée lors du premier scan avec Combofix était un rootkit qui modifie le système en profondeur, provoquant forcément instabilité et ralentissement.
Tant mieux si tout est rentré dans l'ordre :)

Reply

Marsh Posté le 07-10-2010 à 01:57:24    

anthony5151 merci pour le temps consacré à nous aider.
 
 

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed