[Résolu]TR/Crypt.ZPACK.Gen2 comment l'enlever

TR/Crypt.ZPACK.Gen2 comment l'enlever [Résolu] - Virus/Spywares - Windows & Software

Marsh Posté le 19-03-2011 à 15:14:30    

Bonjour à tous...
 
le message est clair ! Au secours :) J'ai attrapé ce virus et Avira ne m'en débarrasse pas (bien que je l'ai supprimé il revient le coquin !).
 
J'ai fais un ccleaner, controle AVIRA, mais rien.
 
Merci de m'indiquer la procédure à suivre!
 
Gracias !


Message édité par H3lpm3 le 23-03-2011 à 23:39:40
Reply

Marsh Posté le 19-03-2011 à 15:14:30   

Reply

Marsh Posté le 20-03-2011 à 11:34:52    

Salut ;)
 
On va vérifier cela sur un rapport de diagnostic ;)
 
/!\ Héberge bien les rapports, il est interdit de poster un rapport sur ce forum /!\
 
Utilise ce logiciel de diagnostic :
 
   
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau.
Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
 
++

Reply

Marsh Posté le 20-03-2011 à 11:42:34    

Reply

Marsh Posté le 20-03-2011 à 12:08:20    

Re.
 
Ta version de Windows est allégée ? Officielle ?
 
Ad-Remover
 
 
• Télécharge AD-Remover (de C_XX) sur ton Bureau.
   
:!: Déconnecte toi et ferme toutes les applications en cours :!:
 
   • Double-clique sur l'icône AD-Remover
   • Au menu principal, clique sur "Nettoyer"
   • Confirme le lancement de l'analyse et laisse l'outil travailler
   • Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )
 
=======================
 
Télécharge ensuite Malwarebytes Anti-Malware (MBAM): ---> Malwarebytes Anti-Malware <---
 
Installe-le en vérifiant que la case de mise à jour soit bien cochée en fin d'installation.
 
Après la mise à jour, lance-le et coche "Examen Rapide". Puis "Rechercher".
 
Si MBAM trouve quelque chose: fais "Voir les résultats" puis "Supprimer la sélection".
 
Poste le rapport généré.
 
++


Message édité par Profil supprimé le 20-03-2011 à 12:08:42
Reply

Marsh Posté le 20-03-2011 à 12:32:53    

Et voici:
- le Rapport AD-remover:
http://www.cijoint.fr/cjlink.php?f [...] 44wgqd.txt
 
J'ai installé et lancé MBAM. 4 objets trouvés. 4 supprimés.
 
Ma version est allégée (il me semble), suite à plusieurs manipulations.
 

Reply

Marsh Posté le 20-03-2011 à 12:40:42    

Est-ce que tu peux regarder, tu dois avoir un autre rapport Ad-R, peux-tu me le poster ?  
 
Peux-tu me poster aussi MBAM ?  
 
Ok pour ta version.  
 
:)

Reply

Marsh Posté le 20-03-2011 à 12:50:03    

En fait j'ai fais un scan.
Puis j'ai nettoyer une fois, j'ai redémarré et refait un nettoyage.
 
J'ai donc trois logs que voici:
Scan : http://www.cijoint.fr/cjlink.php?f [...] WnTKO2.txt
Nettoyage 1:http://www.cijoint.fr/cjlink.php?file=cj201103/cijT1FHM1A.txt
Nettoyage 2: http://www.cijoint.fr/cjlink.php?f [...] AQ2FC4.txt
 
Dis moi si c'est bien les fichiers dont tu as besoin :)
 
Pour MBAM, j'avais pas enregistré le scan. J'ai rescanné, et de nouveau un résultat posifif.
Le log:
http://www.cijoint.fr/cjlink.php?f [...] O88uSC.txt
 
 
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
 
 
 
 
Et merci pour toute cette assistance ! Vraiment !

Reply

Marsh Posté le 20-03-2011 à 12:58:07    

Pas de quoi ;)
 
Pour Ad-R, nickel ! J'avais surtout besoin du "CLEAN[1]" ;)
 
Pour MBAM, en fait, il est enregistré automatiquement.
Lance le logiciel et va voir dans l'onglet "Rapports/Logs" il s'y trouve ;)
 
===============
 
Lance un scan d'Avira et dis-moi si le fichier est toujours détecté ;)
 
++

Reply

Marsh Posté le 20-03-2011 à 14:14:14    

Voici le dernier log MBAM.
http://www.cijoint.fr/cjlink.php?f [...] bWWz0P.txt
 
Le scan avira est en cours :)

Reply

Marsh Posté le 20-03-2011 à 14:40:05    

Ok ;) Par contre, le log MBAM c'est le même :)

Reply

Marsh Posté le 20-03-2011 à 14:40:05   

Reply

Marsh Posté le 20-03-2011 à 15:02:46    

Rien de détecté sur Avira :)
J'ai refait un scan rapide MBAM. ça semble ok.  
Voici le log :
http://www.cijoint.fr/cjlink.php?f [...] fNvMp4.txt
 
Je vais en lancer un complet tt de suite !
Est-ce que le système te parait clean?
Je vais redémarrer après voir si qq reapparait .

Reply

Marsh Posté le 20-03-2011 à 15:51:32    

Rien de détecter dans le scan complet MBAM.
J'ai refait un ZHPDiag au cas où.
La partie : Trojan Driver Search Data (HKLM) (O52) m'inquiète. j'ai peut etre tort!
Le log ici: http://www.cijoint.fr/cjlink.php?f [...] O8HccI.txt
 

Reply

Marsh Posté le 20-03-2011 à 19:20:11    

Non ne t'inquiète pas ;)
 
    • Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
     
    • Copie les lignes suivantes :
 
    ----------------------------------------------------------
 
O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] Clé orpheline  
O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] Clé orpheline  
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] Clé orpheline
O69 - SBI: SearchScopes [HKUS\.DEFAULT] {afdbddaa-5d3f-42ee-b79c-185a7020515b} [DefaultScope] - (Setuprog Customized Web Search) - http://search.conduit.com    
O69 - SBI: SearchScopes [HKUS\S-1-5-18] {afdbddaa-5d3f-42ee-b79c-185a7020515b} [DefaultScope] - (Setuprog Customized Web Search) - http://search.conduit.com    
O69 - SBI: SearchScopes [HKUS\S-1-5-20] {afdbddaa-5d3f-42ee-b79c-185a7020515b} [DefaultScope] - (Setuprog Customized Web Search) - http://search.conduit.com    
R3 - URLSearchHook: hAqX0ne Toolbar - {68911ec5-507f-4fa3-a19d-de2251898a3a} . (.Conduit Ltd. - Conduit Toolbar.) (6.3.2.0) -- C:\Program Files\hAqX0ne\prxtbhAq2.dll  
R3 - URLSearchHook: setuprog Toolbar - {f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5} . (.Conduit Ltd. - Conduit Toolbar.) (6.3.2.0) -- C:\Program Files\Setuprog\prxtbSet2.dll  
O2 - BHO: hAqX0ne - {68911ec5-507f-4fa3-a19d-de2251898a3a} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\hAqX0ne\prxtbhAq2.dll  
O2 - BHO: setuprog - {f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Setuprog\prxtbSet2.dll  
O3 - Toolbar: hAqX0ne Toolbar - {68911ec5-507f-4fa3-a19d-de2251898a3a} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\hAqX0ne\prxtbhAq2.dll  
O3 - Toolbar: setuprog Toolbar - {f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Setuprog\prxtbSet2.dll  
O42 - Logiciel: Setuprog Toolbar - (.Pas de propriétaire.) [HKLM] -- Setuprog Toolbar    
O42 - Logiciel: hAqX0ne Toolbar - (.Pas de propriétaire.) [HKLM] -- hAqX0ne Toolbar    
[HKCU\Software\Setuprog]    
[HKCU\Software\hAqX0ne]    
[HKLM\Software\Setuprog]    
[HKLM\Software\hAqX0ne]    
O43 - CFD: 04/03/2011 - 19:31:36 - [14263021] ----D- C:\Program Files\hAqX0ne    
O43 - CFD: 04/03/2011 - 19:31:40 - [14263023] ----D- C:\Program Files\Setuprog
 
    ----------------------------------------------------------
 
    • Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
 
    • Clique sur « Tous », puis sur « Nettoyer »
 
    • Copie/colle la totalité du rapport dans ta prochaine réponse
 
++

Reply

Marsh Posté le 20-03-2011 à 20:00:42    

Et hop:
http://www.cijoint.fr/cjlink.php?f [...] xRC8eZ.txt
 
Alors tout va bien docteur?

Reply

Marsh Posté le 20-03-2011 à 21:16:04    

Re.
 
Tu aurais le rapport ZHPFix stp ?  
 
++

Reply

Marsh Posté le 20-03-2011 à 23:23:30    

non... j'ai effacé tous les logs car j'en avais trop (je les avais tous centralisé sur le bureau pour les uploader plus vite sur cijoint.fr... ) et évidemment j'ai vidé ma corbeille.
 
ça vaut le coup que je refasse un log de qqch?
J'ai l'impression que tout est ok désormais.

Reply

Marsh Posté le 21-03-2011 à 14:08:39    

Salut.
 
Pas grave ;) On va relancer ZHPFix :
 
    • Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
     
    • Copie les lignes suivantes :
 
    ----------------------------------------------------------
 
[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified    
O42 - Logiciel: Setuprog Toolbar - (.Pas de propriétaire.) [HKLM] -- Setuprog Toolbar    
O42 - Logiciel: hAqX0ne Toolbar - (.Pas de propriétaire.) [HKLM] -- hAqX0ne Toolbar  
 
    ----------------------------------------------------------
 
    • Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
 
    • Clique sur « Tous », puis sur « Nettoyer »
 
    • Copie/colle la totalité du rapport dans ta prochaine réponse
 
===================
 
Essaie de me coller le rapport.  
 
===================
 
Lance Internet Explorer.
Clique sur "Sécurité" puis "Windows Update".
Lance la recherche des mises à jour en cliquant sur "Rapide"
 
Télécharge et installe tes mises à jour en retard.  
 
=================
 
Vérifie ta version de Java, mets-la à jour : http://java.com/fr/download/installed.jsp
 
++

Reply

Marsh Posté le 21-03-2011 à 19:54:06    

Hola !
ALors j'ai mis à jour Java.
Pour [HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified, c'est moi qui ai désactivé l'alerte, sinon ça me saoule :) J'essaie de faire les MAJ tous les mois ... enfin quand j'y pense, les derniers dates de 1 à 2 semaines. Je vais les refaire :)
 
Voici la repport de FIx:
Rapport de ZHPFix 1.12.3260 par Nicolas Coolman, Update du 11/03/2011
Fichier d'export Registre : C:\ZHPExportRegistry-21-03-2011-19-48-07.txt
Run by Ahriman at 21/03/2011 19:48:07
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-h [...] hpfix.html
Contact : nicolascoolman@yahoo.fr
 
========== Clé(s) du Registre ==========
O42 - Logiciel: Setuprog Toolbar - (.Pas de propriétaire.) [HKLM] -- Setuprog Toolbar  => Désinstallation logicielle annulée par l'utilisateur ou désinstallation partielle!
O42 - Logiciel: hAqX0ne Toolbar - (.Pas de propriétaire.) [HKLM] -- hAqX0ne Toolbar  => Désinstallation logicielle annulée par l'utilisateur ou désinstallation partielle!
 
 
========== Récapitulatif ==========
2 : Clé(s) du Registre
 
 
End of the scan
 
Et le log Zdiag :
http://www.cijoint.fr/cjlink.php?f [...] bDi3aY.txt  
 
Encore merci hein ;)

Reply

Marsh Posté le 22-03-2011 à 12:22:10    

Bonjour.
 
As-tu fait tes mises à jour ? :)

Reply

Marsh Posté le 22-03-2011 à 22:06:03    

MAJ effectuées :)
 
Je crois bien que tout est ok cette fois !
Merci beaucoup pour ton aide, elle m'a été précieuse et claire !
 
Chapeau bas !
A une prochaine fois qui sait :)

Reply

Marsh Posté le 22-03-2011 à 22:11:03    

Je me sens un peu boulet de demander ça... mais je trouve pas comment passer ce topic en [Résolu] ^^...

Reply

Marsh Posté le 23-03-2011 à 11:57:28    

Salut.
 
Pour terminer complètement :
 
Suppression des outils, logs utilisés :  
 
DelFix - Option Suppression
 
Télécharge DelFix (d'Xplode) sur ton bureau.  
 
Lance-le puis sélectionne l'option Suppression  
 
Patiente quelques secondes puis copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.  
 
Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )  
 
=======================
 
!! Très Important !!
 
Supprimer les anciens points de restauration:
 
&#x25B6; Clique droit sur "Poste de travail".
&#x25B6; Clique sur "Propriétés".
&#x25B6; Clique sur l'onglet "Restauration du système".
&#x25B6; Coche la case "Désactiver la restauration...", puis "Appliquer" et valide par "OK".
&#x25B6; Redémarre le pc.
 
&#x25B6; Clique droit sur "Poste de travail".
&#x25B6; Clique sur "Propriétés".
&#x25B6; Clique sur l'onglet "Restauration du système".
&#x25B6; Redécoche la case "Désactiver la restauration...", puis "Appliquer" et valide par "OK".
 
Les points sont supprimés.
 
Création d'un nouveau point:
 
&#x25B6; Clique sur "démarrer", "tous les programmes", "Accessoires" puis "Outils système".  
&#x25B6; Clique sur "Restauration du système".
&#x25B6; Dans la nouvelle fenêtre, coche la case "Créer un point de restauration".
&#x25B6; Clique sur "Suivant".
&#x25B6; Entre un nom pour le point de restauration : ce nom doit être assez évocateur (comme: "Après désinfection..." )
&#x25B6; Clique sur "Créer" et le point de restauration se créé automatiquement.
 
=============
 
Pour une navigation plus sûre et plus rapide:
 
Navigue avec Firefox par défaut : http://www.mozilla-europe.org/fr/
 
Addon à ajouter à firefox pour le sécuriser:
 
&#x25B6; Ici : WOT : https://addons.mozilla.org/en-US/firefox/addon/3456
&#x25B6; Explications/Demo ici : http://www.mywot.com/fr/demo
 
+ ceux-ci: http://www.malekal.com/securiser_Firefox.php
 
=============
 
Utile, à lire absolument, quelques minutes de prévention, notamment sur les cracks : http://www.malekal.com/fichiers/pr [...] alware.pdf
 
=============
 
Si tu n'as plus de question et/ou problème, pour moi, c'est ok! (Si tu as encore des questions, n'hésite pas ! )
 
Pour passer en [RESOLU] il te suffit d'éditer ton premier message et d'ajouter [RESOLU] au bout de ton titre.  
 
++  
 

Reply

Marsh Posté le 23-03-2011 à 23:43:13    

Encore merci pour cette aide précisieuse;
Tout me semble ok désormais :)
J'ai installé WOT (pas vraiment convaincu pour le moment).
 
Je viens de mettre Noscript :) QUi sait ça peut toujours servir :)
 
Encore Un GRAND Merci :)
 
A toi, Rico25 et à ce forum !!

Reply

Marsh Posté le 23-03-2011 à 23:46:35    

De rien :)
 

Citation :

J'ai installé WOT (pas vraiment convaincu pour le moment).

 
 
Si tu as des questions, n'hésite pas concernant ce module ;)

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed